e-szignó hitelesítés szolgáltató eidas rendelet …asz-min 2.11 azonosító...

e-Szignó Hitelesítés Szolgáltató

eIDAS Rendelet szerinti

minősített elektronikus archiválási szolgáltatás

szolgáltatási szabályzat

ver. 2.11

Hatálybalépés: 2019-09-25

ASZ-MIN 2.11

Azonosító 1.3.6.1.4.1.21528.2.1.1.188.2.11

Verzió 2.11

Első verzió hatálybalépése 2006-12-15

Biztonsági besorolás NYILVÁNOS

Jóváhagyta Vanczák Gergely

Jóváhagyás dátuma 2019-09-23

Hatálybalépés dátuma 2019-09-25

Microsec Számítástechnikai Fejlesztő zártkörűen működő Részvénytársaság

1033 Budapest, Ángel Sanz Briz út 13. C. épület

2

ASZ-MIN 2.11

Verzió A változás leírása Hatálybalépés Készítette

1.0 Első változat.

OID: 1.3.6.1.4.1.21528.2.1.1.18

2006-12-15 Dr. Berta István Zsolt

1.1 Módosítás a Nemzeti Hírközlési

Hatóság észrevételeinek megfelelően.

OID: 1.3.6.1.4.1.21528.2.1.1.18.1.1


1.2 A fogyasztóvédelem elérhetőségének

változása.

OID: 1.3.6.1.4.1.21528.2.1.1.18.1.2


1.3 Nem lépett hatályba.

OID: 1.3.6.1.4.1.21528.2.1.1.18.1.3


1.4 Megfelelés az NHH által kibocsátott

követelményrendszernek.

OID: 1.3.6.1.4.1.21528.2.1.1.18.1.4


2.0 Cégforma változás.

Változás az archivált akták

titkosításával kapcsolatban.

OID: 1.3.6.1.4.1.21528.2.1.1.18.2.0


2.0 eIDAS

követelmények szerinti új archiválási

szabályzat új OID azonosítóval.

OID: 1.3.6.1.4.1.21528.2.1.1.88.2.0

2016-07-01 Dr. Szőke Sándor

2.1 Módosítások az NMHH észrevételei

alapján.

2016-09-05 Szomolya Melinda,

Dr. Szőke Sándor

2.2 Módosítások a tanúsító észrevételei

alapján.


2.4 Éves felülvizsgálat. 2017-09-30 Dr. Szőke Sándor

2.6 Teljes

felülvizsgálat. Kisebb módosítások.



2.8 Változások az auditor javaslatai

alapján.



c© 2019, Microsec zrt. Minden jog fenntartva.

3

TARTALOMJEGYZÉK ASZ-MIN 2.11

Tartalomjegyzék

1. Bevezetés 9

1.1. Áttekintés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.2. Dokumentum neve és azonosítója . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.2.1. Archiválási rend . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.2.2. Hatály . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.3. PKI szereplők . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.3.1. A Szolgáltató . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.3.2. Ügyfelek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.3.3. Érintett felek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.4. A dokumentum adminisztrálása . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.4.1. A dokumentum adminisztrációs szervezete . . . . . . . . . . . . . . . . . 14

1.4.2. Kapcsolattartó személy . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.4.3. A Szolgáltatási szabályzat Minősített elektronikus archiválási rendnek valómegfelelőségéért felelős személy/szervezet . . . . . . . . . . . . . . . . . 15

1.4.4. A Szolgáltatási szabályzat elfogadási eljárása . . . . . . . . . . . . . . . 15

1.5. Fogalmak és rövidítések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.5.1. Fogalmak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.5.2. Rövidítések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2. Közzététel és tanúsítványtár 20

2.1. Adatbázisok - tanúsítványtárak . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.2. Az információ közzététele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.2.1. Szolgáltatói információ közzététele . . . . . . . . . . . . . . . . . . . . . 20

2.3. A közzététel időpontja vagy gyakorisága . . . . . . . . . . . . . . . . . . . . . . 21

2.3.1. Kikötések és feltételek közzétételi gyakorisága . . . . . . . . . . . . . . . . 21

3. Elektronikus archiválási szolgáltatás 21

3.1. Szolgáltatási szerződés kötése . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.2. Dokumentum feltöltése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.3. Érvényességi lánc elérhetőségének biztosítása - e-dokumentum letöltése . . . . . . 27

3.4. Igazolás kibocsátása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.5. Dokumentum megjelenítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.6. Dokumentum és érvényességi lánc törlése . . . . . . . . . . . . . . . . . . . . . 30

3.7. A szolgáltatási szerződés megszűnése . . . . . . . . . . . . . . . . . . . . . . . . 30

4. Műszaki biztonsági óvintézkedések 30

4.1. Biztonsági garanciák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

4.2. Számítógépes biztonsági óvintézkedések . . . . . . . . . . . . . . . . . . . . . . . 31

4


4.3. Életciklusra vonatkozó műszaki óvintézkedések . . . . . . . . . . . . . . . . . . . . 31

4.4. Rendszeres felülhitelesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.5. Az archívum újra-titkosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.6. A technológia folyamatos figyelése . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.7. Hitelesítés és időbélyegzés szolgáltatók elfogadása . . . . . . . . . . . . . . . . . 33

4.8. Az elektronikus dokumentumok olvashatóságának és értelmezhetőségénekfenntartása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

4.9. Az elektronikus archiválás szolgáltatás egyes elemeinek rendelkezésre állása . . . 36

5. Elhelyezési, eljárásbeli és üzemeltetési előírások 37

5.1. Fizikai követelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

5.1.1. A telephely elhelyezése és szerkezeti felépítése . . . . . . . . . . . . . . . 37

5.1.2. Fizikai hozzáférés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

5.1.3. Áramellátás és légkondicionálás . . . . . . . . . . . . . . . . . . . . . . 38

5.1.4. Beázás és elárasztódás veszély kezelése . . . . . . . . . . . . . . . . . . 39

5.1.5. Tűz megelőzés és tűzvédelem . . . . . . . . . . . . . . . . . . . . . . . 39

5.1.6. Adathordozók tárolása . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

5.1.7. Hulladék megsemmisítése . . . . . . . . . . . . . . . . . . . . . . . . . 39

5.1.8. A mentési példányok fizikai elkülönítése . . . . . . . . . . . . . . . . . 40

5.2. Eljárásbeli előírások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

5.2.1. Bizalmi szerepkörök . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

5.2.2. Az egyes feladatok ellátásához szükséges személyzeti létszámok . . . . . . 41

5.2.3. Az egyes szerepkörökben elvárt azonosítás és hitelesítés . . . . . . . . . 42

5.2.4. Egymást kizáró szerepkörök . . . . . . . . . . . . . . . . . . . . . . . . 42

5.3. Személyzetre vonatkozó előírások . . . . . . . . . . . . . . . . . . . . . . . . . 42

5.3.1. Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozókövetelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5.3.2. Előélet vizsgálatára vonatkozó eljárások . . . . . . . . . . . . . . . . . 43

5.3.3. Képzési követelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

5.3.4. Továbbképzési gyakoriságok és követelmények . . . . . . . . . . . . . . . 44

5.3.5. Munkabeosztás körforgásának sorrendje és gyakorisága . . . . . . . . . . 44

5.3.6. Felhatalmazás nélküli tevékenységek büntető következményei . . . . . . 45

5.3.7. Szerződéses viszonyban foglalkoztatottakra vonatkozó követelmények . . 45

5.3.8. A személyzet számára biztosított dokumentációk . . . . . . . . . . . . 45

5.4. Naplózási eljárások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

5.4.1. A tárolt események típusai . . . . . . . . . . . . . . . . . . . . . . . . 46

5.4.2. A naplófájl feldolgozásának gyakorisága . . . . . . . . . . . . . . . . . 48

5.4.3. A naplófájl megőrzési időtartama . . . . . . . . . . . . . . . . . . . . . 49

5.4.4. A naplófájl védelme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

5


5.4.5. A naplófájl mentési eljárásai . . . . . . . . . . . . . . . . . . . . . . . . 49

5.4.6. A naplózás adatgyűjtési rendszere . . . . . . . . . . . . . . . . . . . . . 50

5.4.7. Az eseményeket kiváltó alanyok értesítése . . . . . . . . . . . . . . . . 50

5.4.8. Sebezhetőség felmérése . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.5. Adatok archiválása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.5.1. Az archivált adatok típusai . . . . . . . . . . . . . . . . . . . . . . . . 50

5.5.2. Az archívum megőrzési időtartama . . . . . . . . . . . . . . . . . . . . . 51

5.5.3. Az archívum védelme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

5.5.4. Az archívum mentési folyamatai . . . . . . . . . . . . . . . . . . . . . . 51

5.5.5. Az adatok időbélyegzésére vonatkozó követelmények . . . . . . . . . . . 52

5.5.6. Az archívum gyűjtési rendszere . . . . . . . . . . . . . . . . . . . . . . 52

5.5.7. Archív információk hozzáférését és ellenőrzését végző eljárások . . . . . 52

5.6. Kompromittálódást és katasztrófát követő helyreállítás . . . . . . . . . . . . . 52

5.6.1. Váratlan esemény és kompromittálódás kezelési eljárások . . . . . . . . 53

5.6.2. Meghibásodott IT erőforrások, szoftverek és/vagy adatok . . . . . . . . 53

5.6.3. Működés folyamatosságának biztosítása katasztrófát követően . . . . . 53

5.7. Az Archiválási szolgáltatás leállítása . . . . . . . . . . . . . . . . . . . . . . . . 54

6. Műszaki biztonsági óvintézkedések 55

6.1. A magánkulcsok védelme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.1.1. Kriptográfiai modulra vonatkozó szabványok és előírások . . . . . . . . 55

6.1.2. Magánkulcs többszereplős (n-ből m) használata . . . . . . . . . . . . . 56

6.1.3. Magánkulcs letétbe helyezése . . . . . . . . . . . . . . . . . . . . . . . 56

6.1.4. Magánkulcs mentése . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6.1.5. Magánkulcs archiválása . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6.1.6. Magánkulcs bejuttatása hardver kriptográfiai eszközbe, vagy onnan történőexportja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6.1.7. Magánkulcs tárolása hardver kriptográfiai eszközben . . . . . . . . . . . . 57

6.1.8. A magánkulcs aktiválásának módja . . . . . . . . . . . . . . . . . . . . . 57

6.1.9. A magánkulcs deaktiválásának módja . . . . . . . . . . . . . . . . . . . . 57

6.1.10. A magánkulcs megsemmisítésének módja . . . . . . . . . . . . . . . . . . 57

6.1.11. A hardver kriptográfiai eszközök értékelése . . . . . . . . . . . . . . . . 58

6.2. Aktivizáló adatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.2.1. Aktivizáló adatok előállítása és telepítése . . . . . . . . . . . . . . . . . 58

6.2.2. Az aktivizáló adatok védelme . . . . . . . . . . . . . . . . . . . . . . . 58

6.2.3. Az aktivizáló adatok kezelésének egyéb szempontjai . . . . . . . . . . . 58

6.3. Informatikai biztonsági előírások . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.3.1. Speciális informatikai biztonsági műszaki követelmények . . . . . . . . . 58

6.3.2. Az informatikai biztonság értékelése . . . . . . . . . . . . . . . . . . . 59

6


6.4. Életciklusra vonatkozó műszaki előírások . . . . . . . . . . . . . . . . . . . . . 59

6.4.1. Rendszerfejlesztési előírások . . . . . . . . . . . . . . . . . . . . . . . . 59

6.4.2. Biztonságkezelési előírások . . . . . . . . . . . . . . . . . . . . . . . . 60

6.4.3. Életciklusra vonatkozó biztonsági előírások . . . . . . . . . . . . . . . . . 61

6.5. Hálózati biztonsági előírások . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

6.6. Időbélyegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

7. A megfelelőség vizsgálata 62

7.1. Az ellenőrzések körülményei és gyakorisága . . . . . . . . . . . . . . . . . . . . 63

7.2. Az auditor és szükséges képesítése . . . . . . . . . . . . . . . . . . . . . . . . 63

7.3. Az auditor és az auditált rendszerelem függetlensége . . . . . . . . . . . . . . . . 64

7.4. Az auditálás által lefedett területek . . . . . . . . . . . . . . . . . . . . . . . . . 64

7.5. A hiányosságok kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

7.6. Az eredmények közzététele . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

8. Egyéb üzleti és jogi kérdések 65

8.1. Díjak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

8.1.1. Visszatérítési politika . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

8.2. Anyagi felelősségvállalás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

8.2.1. Pénzügyi követelmények . . . . . . . . . . . . . . . . . . . . . . . . . . 65

8.2.2. Felelősségbiztosítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

8.3. Bizalmasság . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

8.3.1. Bizalmas információk köre . . . . . . . . . . . . . . . . . . . . . . . . . . 67

8.3.2. Bizalmas információk körén kívül eső adatok . . . . . . . . . . . . . . . . 67

8.3.3. Bizalmas információ védelme . . . . . . . . . . . . . . . . . . . . . . . . 67

8.4. Személyes adatok védelme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

8.4.1. Adatkezelési szabályzat . . . . . . . . . . . . . . . . . . . . . . . . . . 68

8.4.2. Személyes adatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

8.4.3. Személyes adatnak nem minősülő adatok . . . . . . . . . . . . . . . . . 68

8.4.4. Személyes adatok védelme . . . . . . . . . . . . . . . . . . . . . . . . 69

8.4.5. Személyes adatok felhasználása . . . . . . . . . . . . . . . . . . . . . . 69

8.4.6. Adatkezelés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

8.4.7. Egyéb adatvédelmi követelmények . . . . . . . . . . . . . . . . . . . . 69

8.5. Szellemi tulajdonjogok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

8.6. Tevékenységért viselt felelősség és helytállás . . . . . . . . . . . . . . . . . . . 69

8.6.1. A szolgáltató felelőssége és helytállása . . . . . . . . . . . . . . . . . . 69

8.6.2. Az Ügyfél felelőssége és helytállása . . . . . . . . . . . . . . . . . . . . . 71

8.6.3. Az Érintett fél felelőssége . . . . . . . . . . . . . . . . . . . . . . . . . . 71

8.6.4. Egyéb szereplők tevékenységéért viselt felelősség és helytállás . . . . . . 72

7


8.7. Helytállás érvénytelenségi köre . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8.8. A felelősség korlátozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8.9. Kártérítési kötelezettség . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8.9.1. A szolgáltató kártérítési kötelezettsége . . . . . . . . . . . . . . . . . . . 72

8.9.2. Az előfizető kártérítési kötelezettsége . . . . . . . . . . . . . . . . . . . 72

8.9.3. Az érintett felek kártérítési kötelezettsége . . . . . . . . . . . . . . . . . 72

8.10. Érvényesség és megszűnés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8.10.1. Érvényesség . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8.10.2. Megszűnés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8.10.3. A megszűnés következményei . . . . . . . . . . . . . . . . . . . . . . . 73

8.11. A felek közötti kommunikáció . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

8.12. Módosítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

8.12.1. Módosítási eljárás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

8.12.2. Értesítések módja és határideje . . . . . . . . . . . . . . . . . . . . . . . 74

8.12.3. Az OID megváltoztatása . . . . . . . . . . . . . . . . . . . . . . . . . . 74

8.13. Vitás kérdések rendezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

8.14. Irányadó jog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

8.15. Az érvényben lévő jogszabályoknak való megfelelés . . . . . . . . . . . . . . . 75

8.16. Vegyes rendelkezések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

8.16.1. Teljességi záradék . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

8.16.2. Átruházás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

8.16.3. Részleges érvénytelenség . . . . . . . . . . . . . . . . . . . . . . . . . 76

8.16.4. Igényérvényesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

8.16.5. Vis maior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

8.17. Egyéb rendelkezések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

A. Hivatkozások 77

8

1 BEVEZETÉS ASZ-MIN 2.11

1. Bevezetés

Jelen dokumentum a Microsec Számítástechnikai Fejlesztő zrt. (továbbiakban: Microsec vagyMinősített archiválási szolgáltató) által üzemeltetett e-Szignó Hitelesítés Szolgáltató minősítettelektronikus archiválási szolgáltatásra vonatkozó Minősített elektronikus archiválási szolgáltatásiszabályzata.

A Minősített archiválási szolgáltató szolgáltatásait a vele szerződéses viszonyban álló Ügyfelekrészére biztosítja.

Jelen Minősített elektronikus archiválási szolgáltatási szabályzat a fenti szolgáltatások nyújtásánakkereteit, a részletes eljárási és egyéb működési szabályokat tartalmazza.

A Minősített elektronikus archiválási szolgáltatási szabályzat megfelel az eIDAS Rendelet [1] általtámasztott követelményeknek, az ezen szabályoknak megfelelően nyújtott szolgáltatás a rendeletszerinti EU minősített bizalmi szolgáltatás.

A Minősített archiválási szolgáltató a bizalmi szolgáltatás nyújtását 2016. július 1-jén jelentettebe a Nemzeti Média- és Hírközlési Hatóságnak.

A minősített bizalmi szolgáltatás megfelelőségértékelését a TÜV Informationstechnik GmbH(továbbiakban TÜViT) végezte.

A sikeres vizsgálat alapján a Nemzeti Média- és Hírközlési Hatóság 2016. december 20-ánnyilvántartásba vette és a nemzeti bizalmi listában publikálta a bejegyzett minősített bizalmiszolgáltatást.

1.1. Áttekintés

Jelen Minősített elektronikus archiválási szolgáltatási szabályzat célja, hogy összefoglaljamindazokat az információkat, amelyeket a Minősített archiválási szolgáltatóval kapcsolatba kerülőÜgyfeleknek tudniuk érdemes. Ezzel elő kívánja segíteni, hogy Ügyfelei és leendő Ügyfelei:

• minél könnyebben megismerhessék a Minősített archiválási szolgáltató által kínáltszolgáltatások részleteit, feltételeit és a szolgáltatás nyújtásának gyakorlati hátterét;

• átláthassák a Minősített archiválási szolgáltató működését, és ennek révén minél könnyebbeneldönthessék, hogy a szolgáltatások megfelelnek-e, illetve az egyes szolgáltatások melyiktípusa felel meg igényeiknek, elvárásaiknak.

A végfelhasználóknak az igénybe vett szolgáltatással kapcsolatos tevékenységére vonatkozóelőírásokat jelen Minősített elektronikus archiválási szolgáltatási szabályzaton kívül a Minősítettelektronikus archiválási rend, [50] az Általános szerződési feltételek, a szolgáltatóval kötöttSzolgáltatási szerződés, a Minősített archiválási szolgáltató által alkalmazott Hitelesítési rendek(lásd: 1.2.1. fejezet) illetve egyéb, a Minősített archiválási szolgáltatótól független szabályzatilletve dokumentum is tartalmazhat.

1.2. Dokumentum neve és azonosítója

Kibocsátó e-Szignó Hitelesítés SzolgáltatóDokumentum címe eIDAS Rendelet szerinti

minősített elektronikus archiválási szolgáltatásszolgáltatási szabályzat

9


Azonosító 1.3.6.1.4.1.21528.2.1.1.188Dokumentum verziószáma 2.11Hatálybalépés ideje 2019-09-25

1.2.1. Archiválási rend

A Minősített elektronikus archiválási rendet azonosító OID első hét száma a Microsec egyediazonosítója az alábbiak szerint:

(1) International Organization forStandardization (ISO)

Nemzetközi SzabványügyiSzervezet (ISO)

(3) Organization identificationschemes registered according toISO/IEC 6523-2

Az ISO/IEC 6523-2 szerintregisztrált szervezeti azonosítórendszer

(6) United States Department ofDefense (DoD)

Amerikai VédelmiMinisztérium (DoD)

(1) Internet Internet(4) Private projects Magán projektek(1) Private enterprises Magán vállalatok(21528) MICROSEC Ltd. Microsec zrt.

A további számok rendszerét a Microsec saját hatáskörben osztotta ki, értelmezésük az alábbiakszerinti:

(1.3.6.1.4.1.21528) MICROSEC Ltd.(2) e-Szignó Hitelesítés Szolgáltató(1) dokumentumok(1) nyilvános dokumentumok(x) dokumentum egyedi azonosító sorszáma(y) dokumentum verziója(z) dokumentum alverziója

A jelen Minősített elektronikus archiválási szolgáltatási szabályzat szerint nyújtott szolgáltatásmegfelel az alábbi Minősített elektronikus archiválási rend követelményeinek:

OID MEGNEVEZÉS RÖVIDNÉV

1.3.6.1.4.1.21528.2.1.1.187.2.11eIDAS Rendelet szerinti minősített archiválásirend.

MAR

A részletes követelményeket az " e-Szignó Hitelesítés Szolgáltató – eIDAS szerinti minősítettelektronikus archiválási rend

ver.2.11." [48] dokumentum tartalmazza.

10


1.2.2. Hatály

Tárgyi hatály

A Minősített elektronikus archiválási szolgáltatási szabályzat az 1.3.1. fejezetben ismertetettszolgáltatások nyújtására és igénybevételére vonatkozik.

Időbeli hatály

A Minősített elektronikus archiválási szolgáltatási szabályzat jelen verziója 2019-09-25

-i hatálybalépési dátumtól visszavonásig hatályos. A hatályosság automatikusan megszűnik aszolgáltatások beszüntetésekor vagy a Minősített elektronikus archiválási szolgáltatási szabályzatújabb verziójának hatályba lépésekor.

Személyi hatály

A Minősített elektronikus archiválási szolgáltatási szabályzat személyi hatálya kiterjed az 1.3.alfejezetben azonosított közösség minden tagjára.

Területi hatály

A jelen Minősített elektronikus archiválási szolgáltatási szabályzat a magyar jog alapjánMagyarországon nyújtott szolgáltatásokra vonatkozó konkrét követelményeket tartalmaz.

A Minősített archiválási szolgáltató kiterjesztheti a szolgáltatás területi hatályát, ez esetbena Minősített elektronikus archiválási szolgáltatási szabályzat előírásainak megfelelő, azoknálnem enyhébb követelményeket alkalmaz. A külföldi Ügyfelek számára nyújtott szolgáltatásokMinősített elektronikus archiválási szolgáltatási szabályzattól eltérő részletes feltételeit egyediSzolgáltatási szerződésben szabályozhatja.

A jelen Minősített elektronikus archiválási szolgáltatási szabályzat szerint nyújtott szolgáltatás azegész világon elérhető. A jelen Minősített elektronikus archiválási szolgáltatási szabályzat szerintarchivált dokumentumok, érvényességi láncok, illetve a velük kapcsolatban kiállított igazolásokérvényessége független attól, hogy mely földrajzi helyről küldték őket be az archívumba, illetvemely földrajzi helyről kérték le őket.

A jelen Minősített elektronikus archiválási szolgáltatási szabályzat szerint nyújtott szolgáltatáskizárólag a jelen dokumentumban, valamint a Archiválási rendben leírtak szerint használhatófel.

1.3. PKI szereplők

1.3.1. A Szolgáltató

A Szolgáltató adatai

Név: Microsec Számítástechnikai Fejlesztőzártkörűen működő Részvénytársaság

Cégjegyzékszám: 01-10-047218 Fővárosi Törvényszék CégbíróságaSzékhely: 1033 Budapest, Ángel Sanz Briz út 13. C épület

11


Telefonszám: (+36-1) 505-4444Telefax szám: (+36-1) 505-4445Internet cím: https://www.microsec.hu, https://www.e-szigno.hu

Az ügyfélszolgálati iroda elérhetősége:A szolgáltató egység neve: e-Szignó Hitelesítés Szolgáltató

Ügyfélszolgálati iroda:

1033 Budapest, Ángel Sanz Briz út 13.,Graphisoft Park South Area, C épület

Ügyfélszolgálati iroda nyitvatartási ideje: munkanapokon 8:30-16:30 között előzetesidőpont egyeztetés alapján

Ügyfélszolgálati iroda telefonszáma: (+36-1) 505-4444

Ügyfélszolgálati iroda email címe: [email protected]

Visszavonási kérelmek fogadása: [email protected]

A szolgáltatással kapcsolatos információk elérése: https://www.e-szigno.hu

Panaszok bejelentésének helye: Microsec zrt.

1033 Budapest, Ángel Sanz Briz út 13.,Graphisoft Park South Area, C épület

Illetékes fogyasztóvédelmi felügyelőség: Budapest Főváros KormányhivatalFogyasztóvédelmi Felügyelőség1052 Budapest, Városház u. 7.1364 Budapest, Pf. 144.

Illetékes békéltető testület elérhetősége: Budapesti Békéltető Testület1016 Budapest, Krisztina krt. 99. III. em. 310.Levelezési cím: 1253 Budapest, Pf.: 10.

A Szolgáltató bemutatása

A Microsec zrt. a 910/2014/EU rendelet [1] (továbbiakban: eIDAS) szerinti EU minősített bizalmiszolgáltató.

A Microsec zrt. (illetve jogelődje, a Microsec Kft.) az elektronikus aláírással kapcsolatosszolgáltatásainak nyújtását a 2001. évi XXXV. törvény [3] (továbbiakban: Eat.) hatálya alattindította el:

• 2002. május 30-tól kezdve nyújt az Eat. szerinti nem minősített elektronikus aláíráshitelesítés-szolgáltatást, időbélyegzés szolgáltatást és aláírás-létrehozó adat elhelyezésealáírás-létrehozó eszközön szolgáltatást (regisztrációs szám: MH 6834 1/2002);

• 2005. május 15-től kezdve nyújt az Eat. szerinti minősített hitelesítés-szolgáltatást,időbélyegzés szolgáltatást és aláírás-létrehozó adat elhelyezése aláírás-létrehozó eszközönszolgáltatást;

• 2007. február 1-től kezdve nyújt az Eat. szerinti minősített elektronikus archiválásszolgáltatást (a nyilvántartásba vételről szóló határozat ügyiratszáma: HL-3549- 2/2007).

12


2016. július 1-én az eIDAS és az azt kiegészítő 2015. évi CCXXII törvény [6] hatálybalépéséveleurópai szinten egységesen megváltozott az elektronikus aláírással kapcsolatos szolgáltatások teljesrendszere.A Microsec 2016. július 1-jétől nyújtja eIDAS Rendelet szerinti nem minősített bizalmiszolgáltatásait, valamint elindította természetes személyek számára az eIDAS Rendelet szerintiminősített aláíró tanúsítványok kibocsátását.Microsec 2016. december 20-ától nyújtja az alábbi eIDAS Rendelet szerinti minősített bizalmiszolgáltatásait:

• minősített elektronikus bélyegző tanúsítványok kibocsátása

• minősített elektronikus időbélyegzés

• minősített elektronikus archiválás.

Microsec 2019. január 2-ától nyújtja az alábbi eIDAS Rendelet szerinti minősített bizalmiszolgáltatást:

• minősített weboldal hitelesítő tanúsítvány kibocsátás.

Minőség és információbiztonság

A Microsec kiemelten fontosnak tartja Ügyfelei elégedettségét. A magas színvonalú szolgáltatásokfenntartása érdekében a Minősített archiválási szolgáltató ISO 9001 szabványnak megfelelőminőségirányítási rendszert üzemeltet 2002. január 23. óta. A szabványnak való megfelelést aLloyd’s Register Quality Assurance tanúsította.A Microsec nagy figyelmet fordít az általa üzemeltetett rendszerek biztonságára, ezért főtevékenységi területein a ISO/IEC 27001-nek megfelelő információbiztonság-irányítási rendszert(korábban BS 7799) üzemeltet 2003. május 19. óta. A szabványnak való megfelelést a Lloyd’sRegister Quality Assurance tanúsította.A minőségirányítási rendszer és az információbiztonság-irányítási rendszer hatóköre kiterjed aMicrosec által nyújtott bizalmi szolgáltatásokra is.A Microsec kétszintű kockázatelemzése az információ technológiai kockázatokon túlmenőenkiterjed a teljes szervezetre és az üzleti kockázatokra is. A kockázatelemzés legalább éventefelülvizsgálatra kerül. A kockázatelemzés eredménye alapján a Minősített archiválási szolgáltató

• intézkedéseket hoz a feltárt sérülékenységek megszüntetésére, és/vagy

• elfogadja az azonosított maradvány kockázatokat a döntés indokainak rögzítésével.

A Minősített archiválási szolgáltató honlapján minden érintett fél számára elérhetővé tesziInformációbiztonsági Politikáját az alábbi linken:https://www.microsec.hu/hu/biztonsagi-garanciak

Az Információbiztonsági politika minden változása ily módon kerül publikálásra a web oldalonkeresztül.A Minősített archiválási szolgáltató azok bizalmas jellege miat nem hozza nyilvánosságrabelső Biztonsági szabályzatait. Alvállalkozót, szerződéses partnereit és az egyéb érintett feleketa szerződés megkötésekor a szükséges mértékben tájékoztatja a rájuk vonatkozó biztonságiszabályokról.

13


Szolgáltatások

A Minősített archiválási szolgáltató az eIDAS Rendelet [1] által meghatározott alábbibizalmi szolgáltatásokat nyújthatja az Előfizető számára jelen Minősített elektronikus archiválásiszolgáltatási szabályzat keretében:

• minősített elektronikus archiválási szolgáltatás

A Minősített archiválási szolgáltató a szolgáltatásokat jelen Minősített elektronikus archiválásiszolgáltatási szabályzat keretében minősített bizalmi szolgáltatóként nyújtja.

1.3.2. Ügyfelek

A Minősített archiválási szolgáltató által nyújtott szolgáltatások Ügyfelei:

• Előfizető

– Szolgáltatási szerződést köt a Minősített archiválási szolgáltatóval

– elfogadja az Általános szerződési feltételeket,

– meghatározza a felhasználók körét,

– kijelölhet Szervezeti ügyintézőket,

– felelős a szolgáltatás igénybevételével kapcsolatos díjak megfizetéséért.

1.3.3. Érintett felek

Az Érintett fél nem feltétlenül áll szerződéses viszonyban a Minősített archiválási szolgáltatóval. Atevékenységére vonatkozó ajánlásokat a Minősített elektronikus archiválási szolgáltatási szabályzat8.6.3 és 8.9.3 fejezetei és az abban megnevezett egyéb szabályzatok tartalmazzák.

Az archiválás szolgáltatás során kibocsátott igazolásokat befogadó illetve felhasználó fél.

1.4. A dokumentum adminisztrálása

1.4.1. A dokumentum adminisztrációs szervezete

Jelen Minősített elektronikus archiválási szolgáltatási szabályzat adminisztrációját ellátó szervezetadatai az alábbi táblázatban találhatók:

Szervezet neve Microsec e-Szignó Hitelesítés SzolgáltatóSzervezet címe Magyarország, H-1033 Budapest, Ángel Sanz Briz út 13. C épületTelefonszám +36 1 505-4444Fax szám +36 1 505-4445Email cím [email protected]

14


1.4.2. Kapcsolattartó személy

Jelen Minősített elektronikus archiválási szolgáltatási szabályzattal kapcsolatos kérdésekbenközvetlenül az alábbi személyhez lehet fordulni:

Kapcsolattartó Folyamatszervezés részleg vezetőjeSzervezet neve Microsec zrt.Szervezet címe Magyarország, H-1033 Budapest, Ángel Sanz Briz út 13. C épületTelefonszám +36 1 505-4444Fax szám +36 1 505-4445Email cím [email protected]

1.4.3. A Szolgáltatási szabályzat Minősített elektronikus archiválási rendnek valómegfelelőségéért felelős személy/szervezet

Egy Minősített elektronikus archiválási szolgáltatási szabályzatnak a benne meghivatkozottMinősített elektronikus archiválási rendnek való megfelelőségéért és az abban foglaltak szerintiszolgáltatás nyújtásáért az adott Minősített elektronikus archiválási szolgáltatási szabályzatotkibocsátó szolgáltató a felelős.

A Minősített elektronikus archiválási szolgáltatási szabályzatok és a szolgáltatások nyújtásafeletti felügyeletet a Nemzeti Média- és Hírközlési Hatóság látja el. A Nemzeti Média-és Hírközlési Hatóság nyilvántartást vezet a követelményeknek megfelelő Minősített elektronikusarchiválási rendekről valamint az ezeket alkalmazó Minősített archiválási szolgáltatókról.

1.4.4. A Szolgáltatási szabályzat elfogadási eljárása

A Minősített elektronikus archiválási szolgáltatási szabályzat új verziójának illetve tetszőlegesmódosításának megírása, elfogadása és kibocsátása egységes folyamatok szerint – a 8.12.1fejezetben részletezett módon – történik.

1.5. Fogalmak és rövidítések

1.5.1. Fogalmak

Adatközpont

Számítógépes rendszerek és a hozzájuk kapcsolódókomponensek elhelyezésére és üzemeltetésére kialakítottlétesítmény. Ezek a komponensek rendszerint magukbafoglalják a távközlési rendszereket és kommunikációskapcsolatokat, redundáns áramforrást, adattárolókat,légkondicionáló, tűzvédelmi és biztonsági rendszereket.

Bizalmi felügyelet

"A Bizalmi szolgáltatások felügyeletét ellátó hatóság aNemzeti Média- és Hírközlési Hatóság." (2015. évi CCXXII.törvény [6] 91.§ 1. bekezdés)

15


Bizalmi szolgáltatás(Trust Service)

"Rendszerint díjazás ellenében nyújtott, az alábbiakból állóelektronikus szolgáltatások:

• elektronikus aláírások, elektronikus bélyegzők vagyelektronikus időbélyegzők, ajánlottelektronikus kézbesítési szolgáltatások, valamint azilyen szolgáltatásokhoz kapcsolódó tanúsítványoklétrehozása, ellenőrzése és érvényesítése; vagy

• Weboldal-hitelesítő tanúsítványok létrehozása, ellenőrzése ésérvényesítése; vagy

• elektronikusaláírások, bélyegzők vagy az ilyen szolgáltatásokhozkapcsolódó tanúsítványok megőrzése;

" (eIDAS [1] 3. cikk 16. pont)

Bizalmi szolgáltatási rend(Trust Service Policy)

"Olyan szabálygyűjtemény,amelyben egy Bizalmi szolgáltató, igénybe vevő vagymás személy valamely Bizalmi szolgáltatás használatánakfeltételeit írja elő igénybe vevők valamely közösbiztonsági követelményekkel rendelkező csoportja vagymeghatározott alkalmazások számára. " (2015. évi CCXXII.törvény [6] 1. § 8. pont)

Bizalmi szolgáltató(Trust Service Provider)

"Egy vagy több Bizalmi szolgáltatást nyújtó természetesvagy jogi személy; a Bizalmi szolgáltató lehet minősítettvagy nem minősített Bizalmi szolgáltató." (eIDAS [1] 3.cikk 19. pont)

E-akta

Az elektronikus akta (e-akta) egy elektronikus aláíráskonténer formátum, az e-dokumentum egy fajtája. Egye-akta dokumentumokat, illetve hozzájuk kapcsolódóprofilokat (metaadatokat), aláírásokat, ellenjegyzéseket ésidőbélyegeket tartalmazhat.

E-dokumentum

Az e-dokumentum egy olyan elektronikus dokumentum,amely legalább egy PKI alapú elektronikus aláírást vagybélyegzőt tartalmaz. Az e-dokumentum típusától függőentartalmazhat további elektronikus dokumentumokat,illetve hozzájuk kapcsolódó profilokat (metaadatokat),aláírásokat, ellenjegyzéseket és időbélyegzőket.

Elektronikus dokumentum

"Elektronikus formában, különösen szöveg, hang-, képivagy audiovizuális felvétel formájában tárolt bármilyentartalom." (eIDAS [1] 3. cikk 35. pont)

16


Elektronikus időbélyegző(Electronic Time Stamp)

"Olyan elektronikus adatok, amelyek más elektronikusadatokat egy adott időponthoz kötnek, amivel igazolják,hogy utóbbi adatok léteztek az adott időpontban. " (eIDAS[1] 3. cikk 33. pont)

Előfizető(Subscriber)

A Szolgáltatóval valamely szolgáltatás igénybevételeérdekében Szolgáltatási szerződést kötő személy vagyszervezet.

Felfüggesztés

A Tanúsítvány érvényességének ideiglenes megszüntetésea Tanúsítványban is feltüntetett érvényességi idő lejártaelőtt. A Tanúsítvány felfüggesztése nem végleges, afelfüggesztett Tanúsítvány érvényessége visszaállítható.

Gyökér tanúsítvány(Root Certificate)

Más néven legfelső szintű tanúsítvány. ÖnhitelesítettTanúsítvány, amelyet adott Hitelesítő egység saját magaszámára bocsátott ki, azaz saját magánkulcsával vanaláírva, így a saját – a tanúsítványban szereplő – nyilvánoskulcsával ellenőrizhető.

Hardver kriptográfiai eszköz(HSM: Hardware SecurityModule)

Egy olyan hardver alapú biztonságos eszköz, melyelőállítja, tárolja és védi a kriptográfiai kulcsokat, valamintbiztonságos környezetet biztosít a kriptográfiai funkciókvégrehajtására.

Hitelesítés-szolgáltató

Olyan Bizalmi szolgáltató, aki/amelya hitelesítés-szolgáltatás keretében azonosítja az igénylőszemélyét, Tanúsítvány t bocsát ki, nyilvántartásokatvezet, fogadja a Tanúsítványokkal kapcsolatos változásokadatait, valamint nyilvánosságra hozza a Tanúsítványhoztartozó szabályzatokat, és a Tanúsítvány aktuálisállapotára (különösen esetleges visszavonására) vonatkozóinformációkat.

Hitelesítő egység

A Hitelesítés-szolgáltató rendszerének egy egysége, amelyTanúsítványok digitális aláírását végzi. Egy Hitelesítőegységhez mindig egy elektronikus aláírás vagy bélyegzőlétrehozásához használt adat (magánkulcs) tartozik.Előfordulhat, hogy egy Hitelesítés-szolgáltató egyszerretöbb Hitelesítő egységet is működtet.

Kompromittálódás

Egy kriptográfiai kulcs abban az esetben tekintendőkompromittálódottnak, ha vélelmezhető, hogy illetéktelenszemélynek is hozzáférése van hozzá.

Köztes hitelesítő egység

Olyan Hitelesítő egység amelynek Tanúsítványát egymásik Hitelesítő egység bocsátotta ki.

17


Kriptográfiai kulcs(Cryptographic Key)

Olyan – kriptográfiai transzformációtvezérlő – egyedi digitális jelsorozat, amelynek ismereteszükséges titkosításhoz és dekódoláshoz, illetve digitálisaláírás előállításához és ellenőrzéséhez.

Kulcsgondozás(Key Management)

A kriptográfiai kulcsok előállítása, a felhasználókhoztörténő eljuttatása vagy ennek algoritmikus megvalósítása,továbbá a kulcsok nyilvántartása, tárolása, archiválása,visszavonása, törlése, amely szoros kapcsolatban áll azalkalmazott biztonsági eljárásmóddal.

Magánkulcs

A Nyilvános kulcsú infrastruktúrában egy szereplőhöztartozó aszimmetrikus kriptográfiai kulcspár azon eleme,amelyet az Alanynak szigorúan titokban kell tartania.A Hitelesítés-szolgáltató a Tanúsítványok kibocsátásasorán a Hitelesítő egység magánkulcsát használja arra,hogy a Tanúsítvány t védő elektronikus aláírást vagybélyegzőt elhelyezze rajta.

Minősített bizalmi szolgáltatás(Qualified Trust Service)

"Olyan Bizalmi szolgáltatás amely megfelel az eIDASRendeletben foglalt alkalmazandó követelményeknek."(eIDAS [1] 3. cikk 17. pont)

Minősített bizalmi szolgáltató(Qualified Trust Service Provider)

"Olyan Bizalmi szolgáltató amely egy vagy többMinősített bizalmi szolgáltatást nyújt, és amelynekminősített státusát a felügyeleti szerv jóváhagyta. " (eIDAS[1] 3. cikk 20. pont)

Nyilvános kulcs

A Nyilvános kulcsú infrastruktúrában egy szereplőhöztartozó aszimmetrikus kriptográfiai kulcspár azon eleme,amelyet nyilvánosságra kell hozni. A nyilvánosságra hozataljellemzően egy Tanúsítvány formájában történik, amelyösszekapcsolja a szereplő nevét az ő nyilvános kulcsával.A Tanúsítványok hitelességét az őket kibocsátó Hitelesítőegység nyilvános kulcsa segítségével lehet ellenőrizni.

Nyilvános kulcsú infrastruktúra(Public Key Infrastructure, PKI)

Aszimmetrikus kulcsú kriptográfiára épülő infrastruktúra,beleértvea kriptográfiai algoritmusokat, kulcsokat, tanúsítványokat,a rájuk vonatkozó szabványokat és jogszabályokat, amögöttes intézményrendszert, a különböző szolgáltatókatés eszközöket is.

Nyílt e-akta

Olyan e-akta, amely kódolatlan fájlokat, és rajtalévő elektronikus aláírásokat, elektronikus bélyegzőkettartalmaz. A nyílt e-akta az aláírt, bélyegzett fájlokat ésaz aláírásokat, bélyegzőket egyaránt nyíltan tartalmazza.

18


Rendkívüli üzemeltetési helyzet

Olyan, a Minősített archiválási szolgáltató üzemmenetébenzavart okozó rendkívüli helyzet, amikor a Minősítettarchiválási szolgáltató rendes üzemmenetének folytatásáraideiglenesen vagy véglegesen nincsen lehetőség.

Szervezet

Jogi személy.

Szolgáltatási szabályzat(Trust Service PracticeStatement)

"A Bizalmi szolgáltatónyilatkozata az egyes Bizalmi szolgáltatások nyújtásávalkapcsolatosan alkalmazott részletes eljárási vagy másműködési követelményekről. " (2015. évi CCXXII. törvény[6] 1. § 41. pont)

Szolgáltatási szerződés

"A Bizalmi szolgáltató és a Bizalmi szolgáltatás i ügyfélközött létrejött szerződés, amely a Bizalmi szolgáltatásnyújtására és a szolgáltatás igénybevételére vonatkozófeltételeket tartalmazza. " (2015. évi CCXXII. törvény [6]1. § 42. pont)

Tanúsítvány(Certificate)

"Azelektronikus aláírás tanúsítvány, az elektronikus bélyegzőtanúsítvány és a Weboldal-hitelesítő tanúsítvány, valamintmindazon, a Bizalmi szolgáltatás keretében a szolgáltatóáltal kibocsátott elektronikus igazolás, amely tartalmazzaa tanúsítványra vonatkozó érvényesítési adatot és atanúsítvány használatához szükséges kapcsolódó adatokat,és amely elektronikus dokumentum megbízhatóan védvevan a kibocsátáskor és az érvényességi ideje alattrendelkezésre álló technológiákkal elkövetett hamisításellen. " (2015. évi CCXXII. törvény [6] 1. § 44.)

Tanúsítványtár

Különböző Tanúsítványokat tartalmazó adattár.Tanúsítványtára van egy Szolgáltatónak is, amelybenaz általa kibocsátott Tanúsítványokat publikálja, deTanúsítványtárnak nevezzük az Érintett fél számítógépéna használt alkalmazás számára elérhető Tanúsítványokattartalmazó rendszert is.

Titkosított e-akta

Ez az e-akta egy olyan XML fájl, amely egy másik (nyíltvagy titkosított) e-aktát (is) tartalmaz – az S/MIMEspecifikáció szerint titkosítva.

Ügyfél

Az Előfizető és a szolgáltatás igénybe vevői, akik részéreaz Előfizető használati jogosultságot ad.

19

2 KÖZZÉTÉTEL ÉS TANÚSÍTVÁNYTÁR ASZ-MIN 2.11

Visszavonás

A Tanúsítvány érvényességének megszüntetésea Tanúsítványban is feltüntetett érvényességi idő lejártaelőtt. A Tanúsítvány visszavonása végleges, visszavontTanúsítvány többet nem tehető érvényessé.

Visszavonási állapot nyilvántartás

A Hitelesítés-szolgáltató által vezetett belső nyilvántartása felfüggesztett, illetőleg a visszavont Tanúsítványokról,amelyek tartalmazzák legalább a felfüggesztés vagyvisszavonás tényét, és a felfüggesztés vagy visszavonásidőpontját másodperc pontossággal.

1.5.2. Rövidítések

CRL Certificate Revocation List Tanúsítvány visszavonási listaeIDAS electronic Identification, Authentication

and SignatureA 910/2014/EU rendelet általánosanhasznált hivatkozása

LDAP Lightweight Directory Access Protocol Protokoll címtár szolgáltatás eléréséhezNMHH Nemzeti Média- és Hírközlési HatóságOCSP Online Certificate Status Protocol Online tanúsítvány-állapot protokollOID Object Identifier Objektum azonosítóPKI Public Key Infrastructure Nyilvános kulcsú infrastruktúraTSP Trust Service Provider Bizalmi szolgáltató

2. Közzététel és tanúsítványtár

2.1. Adatbázisok - tanúsítványtárak

A Minősített archiválási szolgáltató publikálja a működése alapjául szolgáló Minősített elektronikusarchiválási rendet, Minősített elektronikus archiválási szolgáltatási szabályzatot valamint aszerződési feltételeket tartalmazó egyéb dokumentumokat.

2.2. Az információ közzététele

2.2.1. Szolgáltatói információ közzététele

A Minősített archiválási szolgáltató nyilvánosságra hozza szerződéses feltételeit és szabályzatait ahonlapján elektronikus formában az alábbi linken:

https://e-szigno.hu/letoltesek/dokumentumok-es-szabalyzatok/

A honlapon legalább 30 nappal a hatálybalépés előtt publikálásra kerülnek a bevezetésre váró újdokumentumok.

A honlapon az érvényben levő dokumentumokon kívül elérhető valamennyi dokumentum összeskorábbi verziója is.

A szabályzatok és szerződési feltételek aktuális verziója nyomtatott formában olvasható aMinősített archiválási szolgáltató ügyfélszolgálati irodájában.

20

3 ELEKTRONIKUS ARCHIVÁLÁSI SZOLGÁLTATÁS ASZ-MIN 2.11

A Minősített archiválási szolgáltató a szerződéskötést követően tartós adathordozón bocsátjaaz Ügyfél rendelkezésére a Minősített elektronikus archiválási rendet, a Minősített elektronikusarchiválási szolgáltatási szabályzatot és a Szolgáltatási szerződést.

A Minősített archiválási szolgáltató értesíti Ügyfeleit az Általános szerződési feltételekváltozásáról.

2.3. A közzététel időpontja vagy gyakorisága

2.3.1. Kikötések és feltételek közzétételi gyakorisága

A Minősített elektronikus archiválási szolgáltatási szabályzattal kapcsolatos új verziók közzétételea 8.12. fejezetben ismertetett eljárásoknak megfelelően történik.

A Minősített archiválási szolgáltató szükség szerint hozza nyilvánosságra egyéb szabályzatait,szerződéses feltételeit, illetve azok újabb változatait.

A Minősített archiválási szolgáltató a rendkívüli információkat a jogszabályi előírásoknakmegfelelően, – annak hiányában pedig szükség szerint – késedelem nélkül közzé teszi.

3. Elektronikus archiválási szolgáltatás

A Minősített archiválási szolgáltató a Szolgáltatási szerződés keretében az eIDAS szerintiminősített bizalmi szolgáltatóként nyújtja az elektronikus archiválási szolgáltatást az Előfizetőrészére. A szolgáltatás az alábbi főbb szolgáltatási elemeket tartalmazza:

• Az Előfizető elektronikusan aláírt e-dokumentumokat tölthet fel a Minősített archiválásiszolgáltató által üzemeltetett archívumba. Az e-dokumentum befogadása során a Minősítettarchiválási szolgáltató ellenőrzi az e-dokumentumon illetve az e-dokumentumba foglaltfájlokon található elektronikus aláírás(oka)t vagy bélyegző(ke)t, kiegészíti vagy összeállítjaaz érvényességi lánco(ka)t, minden érvényességi láncon minősített elektronikus archívIdőbélyegzőt helyez el, majd eltárolja a befogadott e-dokumentumot. (lásd 3.2. fejezet).

• A Minősített archiválási szolgáltató a befogadott e-dokumentumokat – a benne foglaltfájlokat és érvényességi láncokat – biztonságosan tárolja és a tárolás teljes ideje alattbiztosítja, hogy

– a tárolt adatokhoz kizárólag az arra jogosultak férhessenek hozzá;

– a tárolt adatokhoz az arra jogosult Előfizető folyamatosan hozzáférjen;

– a tárolt adatokat jogosulatlanul nem lehet módosítani, törölni.

• A Minősített archiválási szolgáltató gondoskodik az e-dokumentumokon illetve az e-dokumentumokban tárolt fájlokon elhelyezett elektronikus aláírások illetve bélyegzők hosszútávú érvényességének biztosításáról. A Minősített archiválási szolgáltató a megőrzésideje alatt biztosítja az e-dokumentumok és meghatározott fájlformátumok esetén abennük szereplő fájlok hosszú távú olvashatóságát. A megőrzési idő 50 év, kivéve ha aSzolgáltatási szerződés érvényessége ezen időtartam letelte előtt szűnik meg. (a részleteketlásd a 4. fejezetben).

21


• Az Előfizető a Szerződés időtartama alatt folyamatosan elérheti a Minősített archiválásiszolgáltató archívumában az általa ott elhelyezett e-dokumentumokat, aláírásokat,bélyegzőket, illetve a hozzájuk tartozó érvényességi láncokat és azokat onnan letöltheti(lásd: 3.3).

• Az Előfizető kérésére a Minősített archiválási szolgáltató hiteles igazolást bocsát kiarról, hogy az egyes e-dokumentumokat tárolja, és az e-dokumentumon illetve az e-dokumentumban tárolt egyes dokumentumokon az archívumba helyezés időpontjábanérvényes elektronikus aláírás vagy bélyegző szerepelt (lásd: 3.4. fejezet).

• Az Előfizető kérésére a Minősített archiválási szolgáltató törli az e-dokumentumokat azarchívumából (lásd: 3.6. fejezet).

A Minősített archiválási szolgáltató minden esetben eltárolja az elektronikus aláírással vagybélyegzővel ellátott elektronikus dokumentumot is, nem nyújtja az archiválási szolgáltatásnaka dokumentum tárolása nélküli változatát. Ez természetesen nem zárja ki, hogy az Előfizetőa Minősített archiválási szolgáltatónak átadni bármilyen okból nem kívánt elektronikusdokumentumról maga készítsen egy kellően biztonságos lenyomatot és azt töltse fel egye-dokumentumban foglalt elektronikus dokumentumként az archívumba. Ilyen esetben azElőfizetőnek kell gondoskodnia a megőrzés megújításáról például a használt lenyomatképzőalgoritmus ellenállóképességének gyengülése esetén.

A Minősített archiválási szolgáltató egyes meghatározott fájlformátumok esetén vállaljaaz archívumban tárolt elektronikus dokumentumok értelmezhetőségének, megjelenítésénekbiztosítását is.

A Minősített archiválási szolgáltató jelen szolgáltatás keretében elektronikus aláírások illetvebélyegzők érvényességének hosszú távú megőrzésével foglalkozik, így kizárólag csak a befogadásidőpontjában érvényes elektronikus aláírással vagy bélyegzővel ellátott e-dokumentumokat fogadbe.

A Minősített archiválási szolgáltató csak olyan elektronikus aláírással illetve bélyegzővel ellátotte-dokumentumokat fogad be,

• amelyekben minden megőrzendő érvényességű elektronikus aláírást vagy elektronikusbélyegzőt Időbélyegzővel láttak el;

• amelyekben az elektronikus aláírás vagy elektronikus bélyegző formátuma megfelel az alábbiformátumok valamelyikének:

– XAdES ETSI TS 101 903 [22] [23] [24] [25]

– PAdES PDF/A format (ISO 19005) [41]

– ASiC (Associated Signature Containers) ETSI TS 102 918 [30]

– CAdES ETSI EN 319 122 [10], [11]

– XAdES ETSI EN 319 132 [12], [13]

– PAdES ETSI EN 319 142 [14], [15]

– ASiC ETSI EN 319 162 [16], [17]

22


Az elektronikus aláírás vagy bélyegző létrehozásához használt Tanúsítvány és az Időbélyegzőtkibocsátó egység Tanúsítványa visszavezethető kell legyen egy a Minősített archiválási szolgáltatóáltal megbízhatónak tekintett gyökér vagy szolgáltatói köztes Tanúsítvány ra.

Az archiválás időtartamát az Előfizető és a Minősített archiválási szolgáltató között kötendőSzolgáltatási szerződés határozza meg. A Minősített archiválási szolgáltató hosszú, akár 50-100éves megőrzési időtartamra is vállal megbízást.

A Minősített archiválási szolgáltató a 4.8 fejezetben felsorolt formátumú fájlok hosszú távúolvashatóságát biztosítja az ott meghatározott módon, az ott leírt feltételek szerint.

3.1. Szolgáltatási szerződés kötése

A szolgáltatás igénybevétele előtt az Előfizetőnek Szolgáltatási szerződést kell kötnie a Minősítettarchiválási szolgáltatóval.

A Minősített elektronikus archiválási szolgáltatási szabályzat illetve az abban hivatkozott egyébszabályzatok egyértelműen meghatározzák a nyújtandó szolgáltatás részleteit, az igénybevételhezszükséges eszközöket.

A Szolgáltatási szerződés megkötésének folyamata:

1. Az Előfizető kapcsolatba lép a Minősített archiválási szolgáltató ügyfélszolgálati irodájával.

2. A Minősített archiválási szolgáltató ügyfélszolgálata tájékoztatást ad az elektronikusarchiválás szolgáltatás jellemzőiről és a szolgáltatás megrendelésének módjáról. Az Előfizetőa Minősített archiválási szolgáltató honlapján található információ alapján is tájékozódhataz elektronikus archiválás szolgáltatás felhasználásának módjáról, biztonsági fokáról,szolgáltatási szabályzatáról, a szerződés feltételeiről, valamint az alkalmazandó adatvédelmiszabályokról. Ezt a Minősített archiválási szolgáltató honlapján megtalálható Általánosszerződési feltételek [51], Minősített elektronikus archiválási rend [48], jelen Minősítettelektronikus archiválási szolgáltatási szabályzat [49], illetve a Minősített archiválásiszolgáltató által készített ügyfél-tájékoztató dokumentum alapján teheti meg.

3. A Minősített archiválási szolgáltató a szerződéskötést megelőzően tájékoztatja az Előfizetőta Minősített elektronikus archiválási szolgáltatási szabályzat elérhetőségéről és tartalmáról.

4. A Szolgáltatási szerződés megköthető írásban, papíralapon vagy elektronikus formában,legalább fokozott biztonságú elektronikus aláírással vagy bélyegzővel hitelesítve és minősítettIdőbélyegzővel ellátva.

5. A szolgáltatás igénybevételéhez az Előfizetőnek szüksége van titkosító és autentikációsTanúsítvány ra, amelyet részére az e-Szignó Hitelesítés Szolgáltató külön szolgáltatásiszerződés keretében biztosíthat. A Minősített archiválási szolgáltató előírhatja, hogy másszolgáltató által kibocsátott titkosító illetve autentikációs Tanúsítványok esetén milyenfeltételekkel nyújtja a szolgáltatást.

3.2. Dokumentum feltöltése

A Minősített archiválási szolgáltató kizárólag az Előfizető azonosságának megállapítása után,biztonságos eljárás keretében fogad be archiválandó e-dokumentumokat. Az eljárás biztosítja aze-dokumentumok integritásának, bizalmasságának megőrzését.

23


A feltöltés tipikusan Interneten keresztül történik a Minősített archiválási szolgáltató általbiztosított felület felhasználásával az alábbiak szerint:

1. Az Előfizető a kliens autentikációs Tanúsítványa felhasználásával kölcsönös azonosításonalapuló TLS kapcsolatot létesít a Minősített archiválási szolgáltatóval. A Minősítettarchiválási szolgáltató az Előfizetőt az TLS kapcsolat felépítéséhez használt kliensautentikációs Tanúsítványa alapján azonosítja. Az Előfizető az TLS kapcsolaton keresztültölthet fel e-dokumentumokat a Minősített archiválási szolgáltató archívumába. Az ElőfizetőDublin Core szerinti [42] metaadatokat is megadhat az egyes elektronikus dokumentumokkalkapcsolatban. A metaadatokat elhelyezheti az e-dokumentumban, de feltöltéskor ismegadhatja őket.

2. A Minősített archiválási szolgáltató a feltöltött e-dokumentum típusától függően ellenőrziaz e-dokumentum megfelelőségét az alábbiak szerint:

• e-akta esetén a Minősített archiválási szolgáltató ellenőrzi, hogy a feltöltött e-aktamegfelelő formátumú-e, azaz megfelel-e a Minősített archiválási szolgáltató honlapjánközzétett e-akta specifikációnak [43]. A feltöltött e-akta egy vagy több elektronikusdokumentumot is tartalmazhat. Az e-akta tartalmazhat az egyes elektronikusdokumentumokon lévő aláírást vagy bélyegzőt, de lehet benne úgynevezett keretaláírásis, amely az e-aktában lévő minden elektronikus dokumentum és az elektronikusdokumentumokon lévő összes aláírás, bélyegző és Időbélyegző integritását biztosítja.Ha az e-akta tartalmaz keretaláírást, akkor a Minősített archiválási szolgáltató kizárólaga keretaláírásokat ellenőrzi (a belső aláírásokat, bélyegzőket nem). Ha az e-aktanem tartalmaz keretaláírást, akkor a Minősített archiválási szolgáltató az e-aktábanfoglalt egyes elektronikus dokumentumokon lévő elektronikus aláírásokat, bélyegzőketellenőrzi. Ha az Előfizető mind a keretaláírások, mind a belső aláírások és bélyegzőkhitelességét biztosítani szeretné, akkor keretaláírásokkal is és keretaláírás nélkül is bekell küldenie az e-aktát.Keretaláírás hiányában az e-aktában foglalt valamennyi elektronikus dokumentumon elkell helyezni legalább egy érvényes elektronikus aláírást vagy bélyegzőt.A Minősített archiválási szolgáltató visszautasítja azon e-aktákat, amelyeken bármelya fentiek szerint ellenőrzött elektronikus aláírás vagy bélyegző hibás, vagy aláíratlanelektronikus dokumentumokat is tartalmaznak.

• PAdES formátumú e-dokumentum esetén a Minősített archiválási szolgáltató ellenőrzi,hogy a feltöltött PAdES formátumú e-dokumentum formátuma megfelel-e a támogatottformátumok valamelyikének. A PAdES formátumú e-dokumentum tartalmazhattovábbi elektronikus dokumentumokat is, de az ezeken esetleg található elektronikusaláírások, bélyegzők érvényességét a Minősített archiválási szolgáltató nem vizsgálja. APAdES formátumú e-dokumentum több egymásba ágyazott elektronikus aláírást vagybélyegzőt is tartalmazhat. A Minősített archiválási szolgáltató valamennyi elektronikusaláírás vagy bélyegző érvényességét vizsgálja, de csak a legutolsó, külső szintűaláírás vagy bélyegző érvényességének megőrzését biztosítja. A Minősített archiválásiszolgáltató megköveteli, hogy a feltöltött PAdES formátumú e-dokumentumonérvényes elektronikus aláírás vagy bélyegző és belső Időbélyegző legyen. Azelektronikus aláírást vagy bélyegzőt nem tartalmazó, az Időbélyegző nélküli, vagy külsőIdőbélyegzővel ellátott e-dokumentumokat a Minősített archiválási szolgáltató nemfogadja be az archívumba.

24


• ASiC formátumú e-dokumentum esetén a Minősített archiválási szolgáltató ellenőrzi,hogy a feltöltött e-dokumentum formátuma megfelel-e a támogatott formátumokvalamelyikének. A feltöltött e-dokumentum egy vagy több elektronikus dokumentumotis tartalmazhat. Az e-dokumentum tartalmazhat további e-dokumentumokat is,de az ezekben található további elektronikus aláírások, bélyegzők érvényességét aMinősített archiválási szolgáltató nem vizsgálja. A Minősített archiválási szolgáltatóaz e-dokumentumban foglalt egyes elektronikus dokumentumokhoz rendelt külsőelektronikus aláírások, bélyegzők mindegyikét ellenőrzi. Az e-dokumentumban foglaltkülső elektronikus aláírások vagy bélyegzők egyike sem tartalmazhat másik aláírásravagy bélyegzőre való hivatkozást, vagyis aláírást nem lehet újra aláírni. Az e-dokumentumban tárolt valamennyi elektronikus dokumentumnak érvényes aláírássalvagy bélyegzővel és Időbélyegzővel kell rendelkeznie. A feltételek bármelyikét nemteljesítő e-dokumentum befogadását a Minősített archiválási szolgáltató megtagadja.

3. Az egyes elektronikus aláírások vagy bélyegzők érvényességének ellenőrzése során aMinősített archiválási szolgáltató ellenőrzi, hogy az egyes aláírások vagy bélyegzők az adottdokumentumhoz tartoznak-e. Ezt követően megpróbálja visszavezetni az adott aláírást vagybélyegzőt valamely általa elfogadott gyökér Tanúsítvány ra (lásd: 1.3.1 fejezet), és OCSPalapján ellenőrzi a tanúsítványlánc minden elemének visszavonási állapotát is. A befogadásifolyamat csak akkor megy tovább, ha az e-dokumentumban szereplő összes vizsgálandóelektronikus aláírás, bélyegző és Időbélyegző érvényesnek bizonyult.

Az aláírás ellenőrzéséhez a Minősített archiválási szolgáltató az e-Szignó aláírás-létrehozóés ellenőrző alkalmazást használja. Az e-Szignó program 3-as változatának aláíró modulja aMATRIX Vizsgáló, Ellenőrző és Tanúsító Kft. által végzett tanúsítás szerint olyan minősítettaláírás-létrehozó alkalmazás, amely az aláírásokat a CWA 14171 [47] szerint ellenőrzi és ETSITS 101 903 [22] [23] [24] [25] szerinti formátumot hoz létre.

A Minősített archiválási szolgáltató csak olyan adatok tekintetében nyújt archiválásszolgáltatást – azaz csak olyan e-dokumentumokat fogad be – amelyeken legalábbfokozott biztonságú, PKI alapú elektronikus aláírás vagy bélyegző található. A Minősítettarchiválási szolgáltató az elektronikus aláírás, bélyegző vagy Időbélyegző vizsgálata során azérvényességi láncot visszavezeti egy elfogadott hitelesítés- (vagy időbélyegzés-) szolgáltatómegbízható gyökértanúsítványára. Előfordulhat, hogy egy hitelesítés-szolgáltató olyan tesztTanúsítvány t bocsát ki, amely saját megbízható gyökértanúsítványa alapján ellenőrizhető.Az ilyen Tanúsítvány t a Minősített archiválási szolgáltató nem tudja elkülöníteni a valódi– fokozott vagy minősített biztonságú elektronikus aláírás vagy bélyegző létrehozásáraalkalmas – Tanúsítványoktól, és az ebből adódó esetleges károkért nem vállal felelősséget.

Amennyiben a Minősített archiválási szolgáltató nem fogadja be az e-dokumentumot, 3napig megőrzi mindazon információt, amely segíthet az elutasítás okának felderítésében.Ilyen információ többek között az e-dokumentumban szerepelő elektronikus aláírás, bélyegző,az aláírói Tanúsítványok, ezek tanúsítványláncai, illetve az időbélyegző tanúsítványok és ezektanúsítványláncai, illetve az ezekhez kapcsolódó esetleges metaadatok.

4. A Minősített archiválási szolgáltató OCSP szolgáltatás segítségével gyűjti össze a hiányzóvisszavonási információkat. Amennyiben a tanúsítványláncban szereplő minden szolgáltatóOCSP szolgáltatására vonatkozó kivárási idő 0, akkor a visszavonási információk rövid időnbelül – akár másodpercek alatt – előállnak. Amennyiben valamely kivárási idő nem 0, akkor aMinősített archiválási szolgáltató a szükséges ellenőrzéseket a kivárási idők elteltével végzi el

25


a vonatkozó szabványok és nemzetközi ajánlások szerint. A Minősített archiválási szolgáltatóelutasítja az e-dokumentumot, ha az ellenőrzést 3 nap alatt nem tudja elvégezni.

A Minősített archiválási szolgáltató felépíti az e-dokumentumokban szereplő elektronikusaláírásokhoz, bélyegzőkhöz tartozó érvényességi láncokat, és minősített archív elektronikusIdőbélyegzőt helyez el rajtuk. Az így kapott érvényességi láncokat az e-dokumentumformátumának megfelelő formátumú ún. archív aláírásként elhelyezi az e-dokumentumban.

5. A Minősített archiválási szolgáltató egy hosszú távon is biztonságosnak tartott kriptográfiaialgoritmus és kulcsparaméter szerinti szolgáltatói kulccsal titkosítva tárolja el az archiválandónyílt e-dokumentumot egy titkosított e-aktában. A befogadott e-dokumentum titkosítatlanpéldányait a Minősített archiválási szolgáltató megsemmisíti olyan eljárás alkalmazásával,ami biztosítja hogy az e-dokumentumot ne (vagy csak irreálisan nagy anyagi ráfordításesetén) lehessen visszaállítani.

6. A Minősített archiválási szolgáltató a lehető leghamarabb, de a feltöltést követően legkésőbb3 napon belül visszaigazolást küld az Előfizetőnek arról, hogy az e-dokumentumot sikeresenbefogadta. Ha a folyamat valahol megszakadt, a Minősített archiválási szolgáltató erről isértesíti az Előfizetőt. Ilyenkor az Előfizető olyan hibaüzenetet kap, amely arról tájékoztatja,hogy a Minősített archiválási szolgáltató nem tudta az e-dokumentumot befogadni (például,mert nem tudta felépíteni az érvényességi láncot). A visszaigazolásokat és hibaüzeneteketa Minősített archiválási szolgáltató elektronikus levélben vagy más, az Előfizetővel előreegyeztetett csatornán küldi ki.

A visszaigazolás tartalmazza az archívumba beküldött e-dokumentum lenyomatát, illetveazt, hogy az archívum befogadta-e a dokumentumot. Ezen kívül sikeres befogadás eseténtartalmazza

• az archívumba befogadott – már archív formátumú elektronikus aláírásokat,bélyegzőket tartalmazó – e-dokumentum lenyomatát, amely a továbbiakban egyediazonosítóként is szolgál,

• a Minősített elektronikus archiválási rend azonosítóját,

• annak az egyértelmű jelzését, hogy a szolgáltatás az eIDAS-nak megfelelő, az Eüt.hatálya alatt álló elektronikus archiválás szolgáltatás,

• az archiválás időtartamát,

• azt, hogy a Minősítettarchiválási szolgáltató vállalja-e az olvashatóság és értelmezhetőség fenntartását aze-dokumentumban lévő egyes elektronikus dokumentumokkal kapcsolatban.

A visszaigazolás a fentieken kívül egyéb információt is tartalmazhat. A sikeres befogadásrólszóló visszaigazolást minősített elektronikus bélyegző és minősített Időbélyegző hitelesíti.Az Előfizetőnek meg kell győződnie róla, hogy a visszaigazolás valóban a feltöltötte-dokumentumra vonatkozik (azaz a feltöltött e-dokumentum lenyomata szerepel-ebenne), és a visszaigazoláson lévő elektronikus bélyegző érvényes. A visszaigazoláselektronikusan bélyegzett dokumentum, így ha az Előfizető hosszú távon is meg szeretnéőrizni a visszaigazolás hitelességét, akkor az elektronikusan bélyegzett dokumentumokérvényességének megőrzésére vonatkozó normatívák szerint kell eljárnia. Ha az Előfizetőa megadott határidőn belül nem kap pozitív visszaigazolást, azt úgy kell tekintenie, hogy

26


a Minősített archiválási szolgáltató nem fogadta be az e-dokumentumot. A Minősítettarchiválási szolgáltató kizárólag a pozitív visszajelzés elküldése esetén felel az e-dokumentummegőrzéséért, és a benne szereplő elektronikus aláírások és bélyegzők hitelességének hosszútávú biztosításáért.

Az internet alapú feltöltésre a Minősített archiválási szolgáltató több lehetőséget is kínál, ezekpéldául

• web oldali feltöltő felület a https://archivmail.e-szigno.hu/arupload címen;

• e-Szignó Archívum kliens feltöltő program;

• e-Szigno kliens programba épített archiválás feltöltő funkció a https://archivmail.

e-szigno.hu/submit címen;

• más szolgáltatásokba integrált automatikus archiváló funkció.

A Minősített archiválási szolgáltató más biztonságos csatornán keresztül is biztosíthat feltöltésilehetőséget az Előfizető számára. Ilyenkor a feltöltött e-dokumentumok bizalmasságát nem az SSLkapcsolat, hanem ezen csatorna – például bérelt vonal – biztosítja. Ettől eltekintve a folyamatekkor is a fenti elvek szerint zajlik le.

A Minősített archiválási szolgáltatóval egyedi esetben az Előfizető nemcsak hálózaton keresztül,hanem valamely adathordozón, például optikai lemezen is juttathat el dokumentumokat aMinősített archiválási szolgáltatónak. Az így kapott adathordozók tartalmát a Minősítettarchiválási szolgáltató a belső szabályzatainak megfelelően, szintén a fenti elvek szerint dolgozzafel. Az átvett adathordozót a Minősített archiválási szolgáltató nem őrzi meg, az adathordozónkapott adatállományok feldolgozása után az adathordozót a Előfizető kérésének megfelelőenvisszaszolgáltatja vagy biztonságos módon megsemmisíti.

3.3. Érvényességi lánc elérhetőségének biztosítása - e-dokumentum letöltése

A Minősített archiválási szolgáltató biztosítja, hogy az Előfizető a szolgáltatási szerződésérvényességi ideje alatt letöltheti az archívumban tárolt e-dokumentumait és az azokhoz tartozóérvényességi láncokat.

Az Előfizető kizárólag biztonságos csatornán keresztül férhet hozzá a Minősített archiválásiszolgáltató archívumában lévő e-dokumentumokhoz és érvényességi láncokhoz. A letöltéstipikusan Interneten keresztül történik a Minősített archiválási szolgáltató által biztosított felületfelhasználásával az alábbiak szerint:

1. Az Előfizető a kliens autentikációs Tanúsítványa felhasználásával kölcsönös azonosításonalapuló SSL kapcsolatot létesít a Minősített archiválási szolgáltató szerverével. A Minősítettarchiválási szolgáltató az Előfizetőt az SSL kapcsolat felépítéséhez használt kliensautentikációs Tanúsítványa alapján azonosítja.

2. Az Előfizető megadja, hogy mely e-dokumentumokhoz kíván hozzáférni. A megfelelő e-dokumentum kiválasztásához a web felületen lehetősége van a dokumentumhoz kapcsolódóDublin Core [42] szerinti metaadatok alapján keresni az e-dokumentumokra. A kiválasztásaz e-dokumentumot egyértelműen azonosító lenyomat (hash) alapú azonosító segítségéveltörténik.

27


3. A Minősített archiválási szolgáltató megállapítja, hogy az Előfizető jogosult-e a kiválasztotte-dokumentumhoz való hozzáférésre.

4. Megfelelő jogosultság esetén a Minősített archiválási szolgáltató a megadott hash alapúazonosító alapján előkeresi az archívumban titkosított e-aktában tárolt e-dokumentumot,majd az e-dokumentum típusától függő módon eljuttatja azt az Előfizetőhöz az alábbiakszerint:

• e-akta esetén átkódolja azt az Előfizető titkosító Tanúsítványához tartozó nyilvánoskulccsal, majd az így újra titkosított e-aktát a védett SSL kapcsolaton keresztüleljuttatja az Előfizetőhöz.

• PADES formátumú e-dokumentum esetén a visszafejtett e-dokumentumot nyíltformában, a védett SSL kapcsolaton keresztül eljuttatja az Előfizetőhöz.

• ASiC formátumú e-dokumentum esetén a visszafejtett e-dokumentumot nyílt formában,a védett SSL kapcsolaton keresztül eljuttatja az Előfizetőhöz.

A Minősített archiválási szolgáltató megtagadja az e-dokumentum letöltését, amennyibenaz e-dokumentummal kapcsolatban korábban már elbírált és hatályosult törlési kérelmetkapott.

5. Az e-akta formátumú tárolás esetén az Előfizető rendelkezik az archiválás szolgáltatásigénybevételére szolgáló titkosító Tanúsítványához tartozó magánkulccsal. Ezzel a kulccsaldekódolja az e-aktát, így hozzájut az érvényességi lánchoz illetve az e-aktában tároltelektronikus dokumentumokhoz.

A Minősített archiválási szolgáltatóval előre egyeztetett esetben az Előfizető valamelyadathordozón, például optikai lemezen is átveheti a Minősített archiválási szolgáltatóarchívumában tárolt e-dokumentumait és érvényességi láncait. A hozzáférés ekkor is a fentielvek szerint zajlik le, de ekkor az Előfizető (vagy írásban meghatalmazott képviselője) nemaz autentikációs Tanúsítványa, hanem valamely személyazonosításra alkalmas okmány alapjánigazolja magát.

Az adathordozó átadása történhet személyes találkozó keretében a Minősített archiválásiszolgáltató megfelelő bizalmi szerepkört betöltő munkatársa által, vagy az Előfizető általelőzetesen benyújtott ilyen irányú írásbeli kérelme alapján megbízható harmadik fél igénybevételével.

A feltöltött e-dokumentumok az Előfizető tulajdonában vannak (lásd: 1.3.2 fejezet), így azElőfizető tölti be az adatgazda szerepét is. Amennyiben az e-dokumentumhoz harmadik fél ishozzáfér, ő az Előfizető nevében jár el.

3.4. Igazolás kibocsátása

A feltöltött e-dokumentumokkal kapcsolatban a Minősített archiválási szolgáltató az Előfizetőkérésére igazolást állít ki. Az igazolás a következőket tartalmazza:

1. Azt az állítást, hogy az adott e-dokumentumon elhelyezett fokozott biztonságú vagyminősített elektronikus aláírások, bélyegzők, a rajtuk elhelyezkedő Időbélyegzők, ésaz ezekhez kapcsolódó Tanúsítványok az időbélyegzés és a feltöltés utáni ellenőrzésidőpontjában érvényesek voltak.

28


2. Az e-dokumentum lenyomatát, az Előfizető nevét és azonosítóját.

3. Azt az állítást, hogy az adott e-dokumentum adott lenyomattal rendelkezik, így megegyezikazzal, amelynek a lenyomatát az Előfizető bemutatta vagy a Minősített archiválásiszolgáltató segítségével előállította.

4. Az e-dokumentum archívumba fogadásának idejét.

A Minősített archiválási szolgáltató az igazolást papír alapon, vagy minősített elektronikusaláírással ellátott e-dokumentumban bocsátja ki. Az igazolást egy archív igazolás kiállításáértfelelős tisztviselő készíti el, majd elektronikus igazolás esetében az igazolást minősített elektronikusaláírásával és minősített Időbélyegzővel látja el, papír alapú igazolás esetén a kinyomtatottigazolást kézzel írott aláírásával hitelesíti.

Az igazolás kibocsátásához nincs szükség az archivált e-dokumentum ismeretére, az a nyílt e-dokumentum nyíltan tárolt lenyomata alapján kerül kiállításra. A lenyomat értékből semmilyeninformáció nem nyerhető ki a tárolt e-dokumentum tartalmára vonatkozóan. Az alkalmazottmegoldás biztosítja, hogy az archív igazolás kiállításáért felelős tisztviselők az igazolás kiállításakapcsán nem ismerhetik meg a nyílt e-dokumentum tartalmát.

Az igazolás kibocsátása történhet olyan módon is, hogy az Előfizető bemutatja a Minősítettarchiválási szolgáltatónak a nyílt archivált e-dokumentumot. Ekkor, feltéve, hogy a bemutatottnyílt e-dokumentummal azonos lenyomatú e-dokumentum szerepel a Minősített archiválásiszolgáltató archívumában, a Minősített archiválási szolgáltató felelős tisztviselője az Előfizetőáltal bemutatott e-dokumentumra vonatkozóan állítja ki az igazolást.

Az Előfizető a Minősített archiválási szolgáltatóhoz tetszőleges kézbesítési módon eljuttatottpapíralapú, kézzel aláírt igénylés, vagy legalább minősített tanúsítványon alapuló fokozottbiztonságú elektronikus aláírásával vagy bélyegzőjével hitelesített elektronikus igénylésbenyújtásával kérheti az igazolás kiadását.

Az igazolás kiadásátaz Előfizető meghatalmazottja is kérheti, amennyiben ezt megelőzően bemutatta az Előfizetőerre vonatkozó, a meghatalmazott aláírását is tartalmazó meghatalmazását.

Az igazolás igényléséhez az Előfizető (vagy meghatalmazottja) meg kell, hogy adja az e-dokumentum lenyomatát amelyikkel kapcsolatban az igazolást kéri. Ezt az információt a 3.3fejezetben lévő keresőfelületről is kinyerheti. Az igazolást a Minősített archiválási szolgáltatóannak az Előfizetőnek adja ki, akihez az adott e-dokumentum a Minősített archiválási szolgáltatóinformatikai rendszere szerint tartozik. Harmadik félnek a Minősített archiválási szolgáltatókizárólag a fent leírt meghatalmazás bemutatása esetén adja ki az igazolást.

3.5. Dokumentum megjelenítése

A Minősített archiválási szolgáltatóval előre egyeztetett időpontban az Előfizető a Minősítettarchiválási szolgáltató szoftver és hardver eszközei segítségével megtekintheti a Minősítettarchiválási szolgáltató archívumában lévő e-dokumentumait a Minősített archiválási szolgáltatóügyfélszolgálati irodájában.

Az archívumban tárolt e-akták megtekintéséhez az Előfizető magával kell hozza az archívszolgáltatás igénybevételéhez szükséges titkosító Tanúsítványához tartozó magánkulcsát, illetve akulcsot tartalmazó intelligens kártyáját.

29

4 MŰSZAKI BIZTONSÁGI ÓVINTÉZKEDÉSEK ASZ-MIN 2.11

3.6. Dokumentum és érvényességi lánc törlése

A Minősített archiválási szolgáltató az Előfizető kérésére törli az archivált e-dokumentumotés a hozzá tartozó valamennyi érvényességi láncot az archívumából. Ezen törlés a tárolt e-dokumentum fizikai megsemmisítését, illetve olyan módon történő felülírását jelenti, hogy aztkésőbb az adathordozóról egyáltalán ne (vagy csak irreálisan nagy anyagi ráfordítás esetén) lehessenvisszaállítani. A törlést a Minősített archiválási szolgáltató a teljes rendszerén végrehajtja, és atörlés keretében az e-dokumentum minden mentett példányát megsemmisíti.

Törlési kérelmet a Minősített archiválási szolgáltató ügyfélszolgálati irodájának kell benyújtaniírásban, papíralapon aláírt vagy legalább fokozott biztonságú elektronikus aláírással ellátottkérelem formájában. A törlést a Minősített archiválási szolgáltató egy munkanapon belül bírálja elés hajtja végre. Törlési kérelem olyan módon is benyújtható, hogy a törlést a Minősített archiválásiszolgáltatónak nem haladéktalanul, hanem csak egy meghatározott napon kell végrehajtania.

A törlésről a Minősített archiválási szolgáltató visszaigazolást küld az Előfizetőnek.

3.7. A szolgáltatási szerződés megszűnése

A Szolgáltatási szerződés megszűnése után még 60 napig a Minősített archiválási szolgáltatólehetővé teszi az Előfizető vagy az arra jogosult más személy részére az Előfizetőhöz tartozóe-dokumentumok és érvényességi láncok letöltését.

A határidő lejárta után a Minősített archiválási szolgáltató az archívumból kitörli az Előfizetőhöztartozó e-dokumentumokat és érvényességi láncokat.

A Minősített archiválási szolgáltató a szerződés megszűnésekor történő törlés esetén is a 3.6.fejezetben leírt módon biztosítja, hogy a törölt e-dokumentumokat ne lehessen visszaállítani.

4. Műszaki biztonsági óvintézkedések

4.1. Biztonsági garanciák

A Minősített archiválási szolgáltató módosítás ellen védett, megbízható rendszereket és termékekethasznál. Megbízható, biztonságtechnikailag értékelt és minősített termékekből álló, egységesinformatikai rendszert használ szolgáltatásai nyújtásához. A Minősített archiválási szolgáltatóolyan megbízható rendszereket és termékeket használ, amelyek az illetéktelen módosítássalszemben védettek. Mind a Minősített archiválási szolgáltató, mind a rendszert szállító éskivitelező vállalkozók hitelesítés-szolgáltatás kiépítésében jelentős tapasztalatokkal rendelkeznekés nemzetközileg elismert technológiát alkalmaznak.

Amennyiben a Minősített archiválási szolgáltató harmadik féltől bizalmi szolgáltatást vesz igénybe,ellenőriznie kell, hogy ezen harmadik fél eleget tesz-e minden szükséges kötelezettségének.A Minősített archiválási szolgáltató az archivált e-dokumentumokat fizikailag biztonságoskörnyezetben, a 5. fejezetben leírt fizikai és eljárásbeli óvintézkedések mellett tárolja, amelynekbiztonságát a Minősített archiválási szolgáltató belső biztonsági szabályzatai és a rendszeresbelső és külső biztonsági felülvizsgálat garantálják. A Minősített archiválási szolgáltatóbiztosítja, hogy a tárolt e-dokumentumokat saját munkatársai sem olvashatják el. A Minősítettarchiválási szolgáltató az e-dokumentumokat kizárólag akkor bocsátja harmadik fél (pl. hatóság)rendelkezésére, ha erre az Előfizető felhatalmazta, vagy ha ezt jogszabály írja elő.

30


A tárolt e-dokumentumok integritását az e-dokumentumok fizikai védelme, valamint azelektronikus aláírással kapcsolatos technológiák biztosítják. Az e-dokumentumok rendelkezésreállását a Minősített archiválási szolgáltató magas színvonalú informatikai rendszere, valaminta rendszer működését szabályzó belső szabályzatai, üzletmenet-folytonossági és vészhelyzet-kezelési eljárásai és egyéb rendkívüli üzemeltetési helyetek kezelésére szolgáló eljárásai biztosítják.A Minősített archiválási szolgáltató ezen eljárások, valamint ezek folyamatos külső és belsőellenőrzése és tesztelése segítségével kerüli el az üzemeltetés és a karbantartás során felmerülőhibákat. A Minősített archiválási szolgáltató két, egymástól távoli fizikai helyszínen tárolja azarchivált e-dokumentumokat.

A Minősített archiválási szolgáltató az archivált e-dokumentumokat – az Előfizető kérése vagya szerződés megszűnése esetén – a 3.6 fejezetben leírt feltételek mellett semmisíti meg. AMinősített archiválási szolgáltató a visszaigazolások aláírására használt kulcsokat, az archiválte-dokumentumok titkosításához/dekódolásához használt kulcsokat, és az infrastrukturális ésrendszervezérlési kulcsokat kriptográfiai hardver eszközben állítja elő. E kulcsokat a Minősítettarchiválási szolgáltató szabályos időközönként cseréli. A Minősített archiválási szolgáltatófigyelemmel kíséri a technológia fejlődését, és amennyiben azt észleli, valamely kulcs már nembiztonságos, illetve ha a Nemzeti Média- és Hírközlési Hatóság határozata szerint az adottalgoritmus már nem használható, akkor haladéktalanul lecseréli az érintett kulcsot vagy kulcsokat.

A Minősített archiválási szolgáltató titkosított e-aktában tárolja az e-dokumentumokat. AMinősített archiválási szolgáltató az e-dokumentumokat mindig olyan algoritmussal titkosítja,amely a technológia adott állása szerint biztonságosnak minősül. Amennyiben ezen algoritmusbiztonsága a technológia fejlődése során megsérül, a Minősített archiválási szolgáltató sajátbelső szabályzatai alapján gondoskodik az e-dokumentum biztonságos algoritmussal történőújra-titkosításáról. A nyílt e-dokumentumokat kizárólag az elektronikus archiválás nyújtásáhozkapcsolódó jogszabályi követelmények teljesítéséhez állítja vissza, azaz a 3.3., a 4.4. és 4.5.fejezetekben leírt esetekben.

4.2. Számítógépes biztonsági óvintézkedések

A Minősített archiválási szolgáltató megbízható informatikai rendszereket és megoldásokat,technológiákat alkalmaz, és rendszerét redundánsan alakította ki. Minden kritikus szolgáltatástbiztosító rendszerelemből két példány üzemel, bármelyik elem kiesése esetén a másik elem átveszia funkcióját.

A visszaigazolásokat aláíró kulcsokat, az archivált adatok titkosításához/dekódoláshoz szükségeskulcsokat, valamint az infrastrukturális és rendszervezérlési kulcsokat hardveres kriptográfiaieszközben állítja elő.

A Minősített archiválási szolgáltató informatikai rendszerét többfokozatú tűzfalrendszerrel védi.Minden tűzfalból két példány működik, bármelyik kiesése esetén egy cluster segítségével a másikugyanolyan egység átveszi a funkcióját.

4.3. Életciklusra vonatkozó műszaki óvintézkedések

Annak érdekében, hogy a Minősített archiválási szolgáltató valamennyi rendszerfejlesztésiprojektjében a biztonsági követelmények magas színvonalon biztosítottak legyenek, a teljesfejlesztés során (már a tervezési és követelmény-meghatározási fázisban is) figyelembe kell vennia fokozott követelményeket.

31


A szolgáltatások nyújtásához használt termékek életciklusukra vonatkozó biztonsági szempontokfigyelembevételével kerültek alkalmazásra.

4.4. Rendszeres felülhitelesítés

A Minősített archiválási szolgáltató az érvényességi láncokon köteles minősített szolgáltató általkibocsátott időbélyegzőt elhelyezni vagy elhelyeztetni az alábbi esetekben:

• ha a Nemzeti Média- és Hírközlési Hatóság ilyen határozatot hoz;

• a Nemzeti Média- és Hírközlési Hatóságnak a Minősített archiválási szolgáltató ellenivégelszámolási eljárás megindításáról vagy felszámolásának elrendeléséről megküldöttkötelező tájékoztatást követően.

4.5. Az archívum újra-titkosítása

A Minősített archiválási szolgáltató az archivált e-dokumentumokat titkosított e-aktában tárolja azarchívumában. Biztosítja, hogy az archivált e-dokumentumok mindenkor biztonságos algoritmussalkerülnek titkosításra.

A Minősített archiválási szolgáltató gondoskodik róla, hogy az e-dokumentumok újra-titkosításrakerüljenek, ha:

• a titkosításkor használt valamely algoritmusban megrendül a bizalom – ilyenkor a titkosításidőpontjában biztonságosnak ítélt algoritmussal kell újra titkosítani;

• a Minősített archiválási szolgáltató dekódoló kulcsának bizalmassága sérül;

• a Minősített elektronikus archiválási szolgáltatási szabályzat vagy az Előfizetővel kötöttszerződés így rendelkezik.

Miután a Minősített archiválási szolgáltató biztonságos módon újra titkosította az archivált e-dokumentumokat, megsemmisíti a korábbi, már nem kellően biztonságosnak ítélt módon titkosítottpéldányokat.

4.6. A technológia folyamatos figyelése

A Minősített archiválási szolgáltató folyamatosan figyelemmel kíséri az elektronikus aláírással éskriptográfiával kapcsolatos technológia fejlődését. Amennyiben a Minősített archiválási szolgáltatóértesülései szerint a Nemzeti Média- és Hírközlési Hatóság határozata szerinti, elfogadott,meghatározott paraméterekkel rendelkező kriptográfiai algoritmusok már nem biztonságosak, errőlértesíti a Nemzeti Média- és Hírközlési Hatóságot és megkéri a kriptográfiai algoritmusokkalkapcsolatos határozat felülvizsgálatára.

A Minősített archiválási szolgáltató bármikor szabadon dönthet a használt kriptográfiaialgoritmuskészletek és paramétereik megváltoztatásáról a Nemzeti Média- és Hírközlési Hatóságalgoritmusokkal kapcsolatos határozatában szereplő algoritmus és paraméter esetén.

32


4.7. Hitelesítés és időbélyegzés szolgáltatók elfogadása

A Minősített archiválási szolgáltató a honlapján teszi közzé, hogy mely Hitelesítés-szolgáltatókTanúsítványait és mely Időbélyegzés-szolgáltatók Időbélyegző it milyen feltételekkel fogadja el. Azelfogadott szolgáltatók listája az alábbi címen érhető el:

https://e-szigno.hu/hitelesites-szolgaltatas/archivalas-szolgaltatas/

elfogadott-szolgaltatok.html

A Minősített archiválási szolgáltató dokumentált eljárásrenddel rendelkezik, amely szerint az egyesHitelesítés-szolgáltatók és Időbélyegzés-szolgáltatók Tanúsítványait és Időbélyegző it elfogadja,illetve nem fogadja el. Ezen eljárásrend többek között azt is meghatározza, hogy a Minősítettarchiválási szolgáltató milyen intézkedéseket hajt végre egy korábban elfogadott Hitelesítés-szolgáltató, illetve Időbélyegzés-szolgáltató magánkulcsának kompromittálódása esetén.

4.8. Az elektronikus dokumentumok olvashatóságának és értelmezhetőségénekfenntartása

A Minősített archiválási szolgáltató gondoskodik róla, hogy az archiválás időtartama alattbizonyos formátumú fájlok megjelenítéséhez szükséges szoftver és hardver eszközök folyamatosanrendelkezésére álljanak. A Minősített archiválási szolgáltató ennek érdekében szabályozott ésauditált belső folyamatokat alakított ki. A Minősített archiválási szolgáltató belső szabályzataikitérnek a fájlok megjelenítésére szolgáló mindenkori hardver és szoftver környezet rendelkezésreállásának biztosítására, a környezet rendszeres felülvizsgálatára és naprakészen tartására.

A Minősített archiválási szolgáltató az eredeti aláírt bitsorozat olvashatóságát, értelmezhetőségétbiztosítja, így a Minősített archiválási szolgáltató nem transzformálja át az aláírt fájlt másformátumba.

A Minősített archiválási szolgáltató a műszaki értelemben vett olvashatóságot biztosítja, így nemvállal felelősséget a fájlok tartalmának értelmezhetőségéért (pl. hibás szkennelés következtébenfeltöltött üres, de szabályos formátumú .PDF fájl.)

A Minősített archiválási szolgáltató olyan formátumú fájlokat tartalmazó e-dokumentumokat isbefogad az archívumába, amelynek tekintetében nem biztosít olvashatóságot és értelmezhetőséget.A Minősített archiválási szolgáltató az elektronikus dokumentumok megőrzését, teháta elektronikus dokumentumok olvashatóságának fenntartását is a szolgáltatási szerződésérvényességi idejéig vállalja. A szolgáltatás leállításakor a Minősített archiválási szolgáltató a 5.7fejezetben leírtak szerint átadja a szolgáltatást egy másik szolgáltatónak. Ekkor a Minősítettarchiválási szolgáltató az archivált e-dokumentumok mellett a fenti, támogatott formátumú fájlokmegjelenítéséhez szükséges szoftver és hardver eszközökkel együtt a megjelenítés hosszú távúbiztosításához szükséges ismereteket is átadja.

A Minősített archiválási szolgáltató a következő fájlformátumok tekintetében biztosítja azolvashatóságot és értelmezhetőséget:

• ISO/IEC 646:1991 (7 bites karakterkészlet információcsere biztosításához, ASCII) [32],

• ISO 8859-1:1998 (Latin-1, 8 bites grafikus karakterkészlet) [33],

• ISO 8859-2:1999 (Latin-2) [34], a magyar referenciakészletre vonatkozóan az MSZ 7795-3:1992 [38] ASCII és ASCII/PC kód szerinti eltéréssel is,

33


• ISO 10646:2003 (Unicode v.4.0) [35],

• Microsoft Rich Text Format 1.7. [44],

• Microsec e-akta formátum minden verziója [43],

• XAdES ETSI TS 101 903 v1.2.2 [22], v1.3.2 [23], v1.4.1 [24] and v1.4.2 [25], formátumúXAdES aláírások (amennyiben egy XML fájl XAdES aláírást tartalmaz, a Minősítettarchiválási szolgáltató az aláírás értelmezhetőségét biztosítja),

• XAdES Baseline Profile ETSI TS 103 171 v2.1.1 [31],

• CAdES ETSI TS 101 733 v1.8.1 [20],

• CAdES Baseline Profile ETSI TS 101 733 v2.1.1 [21],

• ASiC ETSI TS 102 918 v1.3.1 [30],

• PAdES ETSI TS 102 778 -1 v1.1.1 [26], -2 v1.2.1 [27], -3 v1.1.2 [28], -4 v1.1.2 [29],

• ETSI EN 319 122-1 [10] formátumú CAdES aláírások

• ETSI EN 319 122-2 [11] formátumú CAdES aláírások

• ETSI EN 319 132-1 [12] formátumú XAdES aláírások

• ETSI EN 319 132-2 [13] formátumú XAdES aláírások

• ETSI EN 319 142-1 [14] formátumú PAdES aláírások

• ETSI EN 319 142-2 [15] formátumú PAdES aláírások

• ETSI EN 319 162-1 [16] formátumú ASiC aláírások

• ETSI EN 319 162-2 [17] formátumú ASiC aláírások

• IETF RFC 2822 (Internet Message Format) [40],

• IETF RFC 2045 (Multipurpose Internet Mail Extensions, MIME) [39],

• Az elektronikus cégeljárásban használt XML formanyomtatványok 1,

• Olyan XML formátumok, amelyekhez az Előfizető előzetesen benyújt a Minősített archiválásiszolgáltatónak egy, az adott XML formátum megjelenítésére szolgáló XSD sémadefiníciótés XSLT stíluslapot, és nyilatkozik, hogy adott névterekkel rendelkező XML-t ilyen módonkell megjeleníteni.

Amennyiben az Előfizető a fenti listában nem szereplő formátumra vonatkozóan is igényli,hogy a Minősített archiválási szolgáltató biztosítsa az adott formátum olvashatóságát ésértelmezhetőségét, és ezen igényét jelzi a Minősített archiválási szolgáltatónak, a Minősítettarchiválási szolgáltató erre vonatkozó eljárásrendje szerint megvizsgálja, hogy az adottformátum esetében ez megoldható-e, illetve milyen feltételekkel oldható meg. Amennyiben a

1Ezek formátuma a http://www.e-cegjegyzek.hu/e-cegeljaras/cegnyomtatvany.htm címen érhető el.

34


Minősített archiválási szolgáltató az Előfizető által kért formátumot felveszi az olvashatóságés értelmezhetőség tekintetében támogatott formátumok közé, az jelen Minősített elektronikusarchiválási szolgáltatási szabályzat módosítását jelenti.

A Minősített archiválási szolgáltató kizárólag a fenti formátumok fent hivatkozott specifikációkbanszereplő verzióit támogatja, az ettől eltérő (akár újabb) verziók szerinti fájlok olvashatóságát,megjeleníthetőségét nem garantálja. A Minősített archiválási szolgáltató a formátumokolvashatóságát, értelmezhetőségét vállalja, tehát ha valamely alkalmazás hibásan, a fentispecifikációktól eltérően hozza létre vagy jeleníti meg a fájlokat, a Minősített archiválási szolgáltatónem vállal felelősséget az ebből eredő károkért.

A Minősített archiválási szolgáltató kizárólag a fent meghivatkozott specifikációkban leírtmértékig vállalja az egyes formátumok megjeleníthetőségét. Amennyiben egyes formátumokpéldául beágyazott objektumokat is tartalmazhatnak, a Minősített archiválási szolgáltató nemvállalja ezen beágyazott objektumok megjeleníthetőségének biztosítását. Mivel az e-mail formátum(RFC 2822 [40]) nem specifikálja az e-mailben szereplő karakterek kódolását, a Minősítettarchiválási szolgáltató kizárólag olyan e-mailek megjelenítését vállalja, amelyekben az üzeneta fenti karakterkódolások egyikével szerepel. A MIME (RFC 2045 [39]) specifikáció szerintkódolt "csatolmányok" esetén a Minősített archiválási szolgáltató kizárólag azon csatolmányokmegjeleníthetőségét vállalja, amelyek a fenti formátumok egyikével rendelkeznek.

A Minősített archiválási szolgáltató a fájlok olvashatóságát, megjeleníthetőségét vállalja a fájlaz 1.5. fejezetben szereplő definíciója szerint. Ez azt jelenti, hogy a Minősített archiválásiszolgáltató akkor biztosítja egy (fenti formátumú) fájl értelmezhetőségét, megjeleníthetőségét,ha az egy e-dokumentumban beillesztve szerepel. A Minősített archiválási szolgáltató nemvállalja az egyéb transzformációkkal (is) kódolt, különösen a titkosított fájlok olvashatóságánakbiztosítását. A fájlokon kívül a Minősített archiválási szolgáltató e-dokumentumok olvashatóságát,megjeleníthetőségét is vállalja. Ez az aláírások, bélyegzők és Időbélyegzők ellenőrizhetőségéig, ésaz e-dokumentumokban elhelyezett fájlok kinyeréséig terjed.

A fájl formátumok meghatározása az e-dokumentumban foglalt "mimeType" érték alapjántörténik, ennek hiányában a Minősített archiválási szolgáltató az adott elektronikusdokumentum formátumát ismeretlennek tekinti és nem biztosítja az elektronikus dokumentumértelmezhetőségét. A Minősített archiválási szolgáltató csak az alábbi listában szereplő"mimeType" értékek használatát támogatja:

• text/txt

• application/xml

• text/xml

• text/plain

• application/pdf

• application/eszigno3

• application/vnd.eszigno3+xml

• application/octet-stream(dosszie)

• application/octet-stream(es3)

35


• application/nldossier2

• application/octet-stream(xml)

• application/octet-stream(pdf)

A Minősített archiválási szolgáltató felhívja az Ügyfelek figyelmét arra, hogy amennyiben egyesformátumok (különösen egyes nem karakterszintű formátumok) megengedik úgynevezett aktívelemek használatát, akkor előfordulhat, hogy egy ilyen formátumú fájl különböző időpontokbankülönböző módon jelenik meg a fenti specifikációk szerint is. A Minősített archiválási szolgáltatóazt tanácsolja Ügyfeleinek, hogy lehetőleg ne helyezzenek el aláírást aktív elemeket tartalmazófájlokon. A Minősített archiválási szolgáltató az aktív elemeket is a fenti specifikációknakmegfelelően jeleníti meg, az egyes fájlok különböző – de a fenti specifikációknak megfelelő –megjeleníthetőségéből eredő károkért nem vállal felelősséget.

A Minősített archiválási szolgáltató nem végez ellenőrzést végez arra vonatkozóan, hogy a feltöltötte-dokumentum tartalmaz-e olyan aktív kódot, ami a dokumentum megjelenítése során változástokozhat.

Egy e-dokumentum befogadásakor a Minősített archiválási szolgáltató automata segítségévelmegvizsgálja, hogy az adott e-dokumentumban lévő fájlok rendelkezhetnek-e a támogatottformátumok valamelyikével. Amelyek nem rendelkeznek támogatott formátummal, azok eseténelutasítja az olvashatóság fenntartását. A 3.2. fejezetben leírt visszaigazolás tartalmazza, hogymely fájl formátuma ismeretlen – az ilyen fájlok olvashatóságát a Minősített archiválási szolgáltatónem garantálja. A befogadáskor elvégzett ellenőrzés nem teljes körű, a Minősített archiválásiszolgáltató nem vállal felelősséget azért, hogy az ismeretlen formátumúnak nem tekintett fájloktámogatott formátummal rendelkeznek és szintaktikailag helyesek.

4.9. Az elektronikus archiválás szolgáltatás egyes elemeinek rendelkezésre állása

Az elektronikus archiválás szolgáltatás következő elemeinek rendelkezésre állása éves szinten 99%és az eseti szolgáltatás-kiesések nem haladhatják meg a 3 napot:

• az archivált e-dokumentumok és érvényességi láncok elektronikusan történő letöltése,

• keresés az archivált e-dokumentumok között,

• törlési kérelmek fogadása,

• időzített törlési kérelmek fogadása (amely segítségével az Előfizető meghatározhatja, hogyegy adott e-dokumentumot mennyi ideig archivál a Minősített archiválási szolgáltató), illetvekorábbi időzített törlési kérelmek módosítása,

• információkérés a korábban elküldött kérések állapotára vonatkozóan.

Az e-dokumentumok feltöltése szolgáltatást a Minősített archiválási szolgáltató jogosultszüneteltetni.

A Minősített archiválási szolgáltató ügyfélszolgálati irodája minden munkanapon, nyitvatartásiidőben fogad igazolás kibocsátására vonatkozó kérelmeket; az igazolások kibocsátása 5 munkanapalatt történik meg.

A Minősített archiválási szolgáltató ügyfélszolgálati irodájának nyitva tartását az 1.3.1. fejezettartalmazza.

36

5 ELHELYEZÉSI, ELJÁRÁSBELI ÉS ... ASZ-MIN 2.11

5. Elhelyezési, eljárásbeli és üzemeltetési előírások

A Minősített archiválási szolgáltató széles körben elismert szabványoknak megfelelő fizikai,eljárásbeli és személyzeti biztonsági óvintézkedéseket, valamint az ezeket érvényre juttatóadminisztratív és irányítási eljárásokat alkalmaz.

A Minősített archiválási szolgáltató nyilvántartást vezet a szolgáltatás nyújtásával kapcsolatosrendszerelemekről és erőforrásokról, és ezekkel kapcsolatos kockázatelemzést végez. Az egyeselemekkel kapcsolatban a kockázatokkal arányos védelmi megoldásokat alkalmaz.

A Minősített archiválási szolgáltató figyelemmel kíséri a kapacitás igényeket és biztosítja, hogymegfelelő feldolgozási teljesítmény és tárolási kapacitás álljon rendelkezésre a szolgáltatásnyújtásához.

5.1. Fizikai követelmények

A Minősített archiválási szolgáltató gondoskodik arról, hogy a kritikus szolgáltatásokhoz történőfizikai hozzáférés ellenőrzött legyen és a kritikus szolgáltatások eszközeit érintő fizikai kockázatátminimalizálja.

A fizikai óvintézkedések célja a Minősített archiválási szolgáltató által birtokolt információrailletve fizikai zónáira irányuló jogosulatlan hozzáférés, károkozás és illetéktelen behatolásmegakadályozása.

A kritikus és érzékeny információt feldolgozó szolgáltatásokat biztonságos helyszíneken valósítjákmeg a Minősített archiválási szolgáltató rendszerében.

A biztosított védelem mértéke megfelel a Minősített archiválási szolgáltató által végzettkockázatelemzésben megállapított fenyegetettség mértékének.

A megfelelő védelem biztosítása érdekében:

• A Minősített archiválási szolgáltató védett számítógéptermében valósítja meg a szigorúbbanvédendő szolgáltatásokat. Ez a számítógépterem speciálisan erre a célra lett tervezveés kialakítva, tervezésénél különböző védelmi szempontok [a telephely elhelyezése ésszerkezeti felépítése, a fizikai hozzáférés (beléptetés ellenőrzése és felügyelete), áramellátás,légkondicionálás, beázás és elárasztódás elleni védekezés, tűzmegelőzés és tűzvédelem,adathordozók tárolása stb.] egységes érvényesítésére került sor.

• A Minősített archiválási szolgáltató valamennyi kritikus szolgáltatását egy külön biztonságizónában valósítja meg, az ehhez szükséges valamennyi eszközt egy – a biztonsági zóna részétképező – védett számítógépteremben helyezi el.

5.1.1. A telephely elhelyezése és szerkezeti felépítése

A Minősített archiválási szolgáltató informatikai rendszereit fizikai és logikai védelemmel ellátott,megfelelően biztonságos Adatközpontban helyezte el és üzemelteti, amely megakadályozza azilletéktelen hozzáférést. Az Adatközpont elhelyezése és kialakítása során egymásra épülő ésegymást támogató védelmi megoldásokat alkalmaz – őrzés, biztonsági zárak, behatolás érzékelők,videó megfigyelő rendszer, beléptető rendszer stb. – amelyek együttesen egy erős védelmi szintetbiztosítanak a szolgáltatásban részt vevő informatikai rendszerek és a szolgáltató által tároltbizalmas adatok megóvására.

37


5.1.2. Fizikai hozzáférés

A Minősített archiválási szolgáltató védi a szolgáltatás nyújtásában részt vevő eszközeit ésberendezéseit a jogosulatlan fizikai hozzáféréstől az eszközök manipulálásának megakadályozásaérdekében. A Minősített archiválási szolgáltató biztosítja, hogy:

• az Adatközpontba történő minden belépés regisztrálásra kerül;

• az Adatközpontba csak két – bizalmi szerepkört betöltő, erre feljogosított –munkatárs egyidejű azonosítása után lehet belépni, legalább az egyik munkatársnakrendszeradminisztrátornak kell lennie;

• az önálló jogosultsággal nem rendelkező személyek csak indokolt esetben, a szükséges ideigtartózkodhatnak a gépteremben megfelelő jogosultságú kísérő személyzettel;

• a belépési logokat folyamatosan archiválják és legalább hetente megvizsgálják.

Az eszközök aktivizáló adatai (jelszavak, PIN kódok) a géptermen belül sem tárolhatók nyíltformában.

Jogosulatlan személyek jelenlétében:

• a bizalmas adatokat tartalmazó adathordozókat fizikailag elzárva tartják;

• a bejelentkezett terminálokat nem hagyják felügyelet nélkül;

• nem végeznek olyan munkafolyamatot, amely során bizalmas adat felfedésre kerülhet.

A gépterem elhagyásakor az adminisztrátornak ellenőriznie kell, hogy:

• az Adatközpont minden berendezése megfelelően biztonságos üzemállapotban van;

• egyetlen terminálon sem maradt bejelentkezve;

• a fizikai tároló eszközök megfelelően be lettek zárva;

• a fizikai védelmet biztosító rendszerek, berendezések megfelelően működnek;

• a riasztó rendszer aktiválva lett.

A rendszeres fizikai biztonsági vizsgálatokat kijelölt felelősök végzik. A vizsgálatok eredményétmegfelelő naplóbejegyzésekben rögzítik.

5.1.3. Áramellátás és légkondicionálás

A Minősített archiválási szolgáltató Adatközpontjában olyan szünetmentes áramellátó rendszertalkalmaz, amely:

• megfelelő teljesítménnyel rendelkezik az adatközpont informatikai és a kisegítő létesítményirendszerei áramellátásának biztosítására;

• megvédi az informatikai berendezéseket a külső hálózatból érkező feszültség ingadozások,feszültség kimaradások, tüskék és egyéb zavarok ellen;

38


• tartós áramszünet esetére saját áramtermelő berendezéssel rendelkezik, amely - üzemanyagutántöltést lehetővé téve - tetszőleges időtartamig képes a szükséges energia biztosítására.

Az Adatközpontba nem juthat be közvetlenül a külső környezet levegője. Az Adatközpontlevegőjének tisztaságát megfelelő szűrőrendszer alkalmazása biztosítja, amely kiszűri a levegőbőla különféle szennyeződéseket (por, szennyező anyagok, korrozív anyagok, mérgező vagy gyúlékonyanyagok). A szellőző rendszer megfelelő szűrés mellett biztosítja az operátorok biztonságosmunkavégzéséhez szükséges mennyiségű friss levegőt.

A levegő nedvességtartalma az informatikai rendszerek által megkívánt szintre van csökkentve.

A Minősített archiválási szolgáltató megfelelő teljesítményű hűtőrendszert használ a szükségesüzemi hőmérséklet biztosítása, az informatikai eszközök túlhevülésének megakadályozásaérdekében.

5.1.4. Beázás és elárasztódás veszély kezelése

A Minősített archiválási szolgáltató biztonsági zónájának kialakítása során fontos szempont volta beázás és elárasztódás veszélyének minimalizálása. A biztonsági zóna teljes területe mentes avizesblokkoktól, nincs a közelében sem csatorna sem vízvezeték. A biztonsági zóna teljes területétvízbetörés érzékelő rendszer felügyeli. A védett számítógépteremben a biztonságot tovább növeliaz álpadló alkalmazása.

5.1.5. Tűz megelőzés és tűzvédelem

A Minősített archiválási szolgáltató Adatközpontjában az illetékes tűzoltóparancsnokság általjóváhagyott tűzvédelmi rendszer működik. A füst és tűzérzékelők vészhelyzet eseténautomatikusan riasztják a tűzoltóságot. A gépteremben vízpára alapú, automatikus tűzoltórendszer lett kialakítva, amely az emberi életre nem veszélyes és nem károsítja az informatikaieszközöket sem.

Minden helyiségben jól látható helyen található a vonatkozó előírásoknak megfelelő típusú ésmennyiségű kézi tűzoltó készülék.

5.1.6. Adathordozók tárolása

A Minősített archiválási szolgáltató megvédi valamennyi adathordozóját a jogosulatlanhozzáféréstől és a véletlen rongálódástól. Minden napló és archív adatot legalább két példánybanhoz létre. A példányokat egymástól fizikailag elkülönítve tárolja, egymástól biztonságos távolságralévő helyszíneken. A tárolt adathordozókat védi a káros környezeti behatásoktól, mint pl. alacsonyvagy magas hőmérséklet, szennyeződés, nedvesség, napfény, erős mágneses tér, erős sugárzás.

A Minősített archiválási szolgáltató az elsődleges adathordozókat kódzáras, tűzállópáncélszekrényekben tárolja a hitelesítő szervezet operátori helyiségében, a másolati példányokatpáncélszekrényben az ügyfélszolgálati irodában.

5.1.7. Hulladék megsemmisítése

A Minősített archiválási szolgáltató a környezetvédelmi előírások betartásával gondoskodikfeleslegessé vált eszközeinek, adathordozóinak megsemmisítéséről.

39


A Minősített archiválási szolgáltató a bizalmas minősítésű adatokat tartalmazó elektronikusadathordozókat még tartalmuk törlése után sem használja fel nem bizalmas minősítésű adatoktárolására, az ilyen eszközök nem vihetők ki a Minősített archiválási szolgáltató területéről. AMinősített archiválási szolgáltató a meghibásodott vagy bármely más okból használhatatlanná,feleslegessé vált, bizalmas minősítésű adatokat tartalmazó adathordozókat – a selejtezésiszabályzatának megfelelően – fizikailag megsemmisíti:

• a papíralapú dokumentumokat iratmegsemmisítő géppel felaprítja;

• a merevlemezeket szétszereli és a kritikus alkatrészeket összetöri;

• az optikai lemezeket erre alkalmas iratmegsemmisítő géppel megsemmisíti.

5.1.8. A mentési példányok fizikai elkülönítése

A Minősített archiválási szolgáltató legalább heti rendszerességgel előállít olyan mentést, amibőlmeghibásodás esetén a teljes szolgáltatás helyreállítható. A mentéseket - legalább az utolsó teljesmentést is beleértve - egy olyan külső helyszínen tárolja, amelynek a fizikai és működési védelmeazonos az elsődleges helyszínével. Az elsődleges és a tartalék helyszínek között biztosítja az adatokbiztonságos továbbítását.

A mentett állományokból legalább évente szúrópróbaszerű kiválasztással jegyzőkönyvezetthelyreállítási tesztet végez.

5.2. Eljárásbeli előírások

A Minősített archiválási szolgáltató gondoskodik arról, hogy rendszereit biztonságosan,szabályszerűen, a meghibásodás minimális kockázata mellett üzemeltesse.

Az eljárásbeli óvintézkedések célja, hogy a bizalmi szerepkörök kijelölésével és elkülönítésével, azegyes szerepkörök felelősségének dokumentálásával, az egyes feladatokhoz szükséges személyzetilétszámok, a kizáró szerepkörök, valamint az egyes szerepkörökben elvárt azonosítás és hitelesítésmeghatározásával kiegészítse, egyúttal fokozza a fizikai környezetre és személyzetre vonatkozóóvintézkedések hatásosságát.

A Minősített archiválási szolgáltató belső irányítási rendszere biztosítja a jogszabályoknak ésbelső szabályzatainak megfelelő működést. Rendszerében minden rendszerelemhez és mindenfolyamathoz egyértelműen hozzárendelhető az adott rendszerelemért, vagy folyamatért felelősszemély. A Minősített archiválási szolgáltató rendszerében élesen elkülönülnek egymástól afejlesztési és üzemeltetési folyamatok. A rendszer megfelelő működését a független rendszervizsgálóés a Minősített archiválási szolgáltató belső folyamatainak rendszeres ellenőrzése biztosítja.

5.2.1. Bizalmi szerepkörök

A Minősített archiválási szolgáltató feladatai ellátásához bizalmi szerepköröket hozott létre. Ajogosultságok és funkciók oly módon lettek megosztva az egyes bizalmi szerepkörök között, hogyegyedül egyetlen felhasználó se legyen képes a biztonsági védelmi intézkedések megkerülésére.

A Minősített archiválási szolgáltató a következő bizalmi szerepköröket határozza meg az alábbifelelősségi körökkel:

40


A Minősített archiválási szolgáltató informatikai rendszeréért általánosan felelős vezető:Az informatikai rendszerért felelős személy.

Biztonsági tisztviselő: Biztonságtechnikai főmunkatárs, a szolgáltatás biztonságáért általánosanfelelős személy.

Rendszeradminisztrátor: Infrastruktúra adminisztrátor. Feladata a Minősített archiválásiszolgáltató rendszereinek telepítése, konfigurálása, karbantartása. Felelős a rábízottrendszerelemek megbízható és folyamatos működéséért, valamint a technológia fejlődéséneknyomon követéséért, az egyes rendszerelemekben való biztonsági rések felderítéséért ésmegoldási javaslatok kidolgozásáért.

Operátor: Rendszerüzemeltető, az informatikai rendszer folyamatos üzemeltetését, mentését éshelyreállítását végző személy.

Független rendszervizsgáló: A Minősített archiválási szolgáltató naplózott, illetve archiváltadatállományát vizsgáló, a Minősített archiválási szolgáltató által a szabályszerű működésérdekében megvalósított kontroll intézkedések betartásának ellenőrzéséért, a meglévőeljárások folyamatos vizsgálatáért és monitorozásáért felelős személy.

Archiválási tisztviselő: Két archiválási tisztviselő együttes közreműködésével lehetőség vanegy elektronikus dokumentum visszafejtésére. Az archiválási tisztviselők felelősek avisszafejtett elektronikus dokumentum biztonságos kezeléséért illetve a felhasználás utánimegsemmisítéséért.

Archív igazolás kiállításáért felelős tisztviselő: Feladata az archív igazolások kibocsátása,hitelesítése.

A bizalmi szerepkörök ellátására a Minősített archiválási szolgáltató biztonságért felelős vezetőjeformálisan kinevezi a Minősített archiválási szolgáltató munkatársait.

Bizalmi szerepkört csak a Minősített archiválási szolgáltatóval munkaviszonyban álló személyekláthatnak el, megbízási szerződés keretében a bizalmi szerepkörök nem láthatók el.

A bizalmi szerepkörökről a Minősített archiválási szolgáltató naprakész nyilvántartást vezet, aváltozásokat haladéktalanul bejelenti a Nemzeti Média- és Hírközlési Hatóságnak.

5.2.2. Az egyes feladatok ellátásához szükséges személyzeti létszámok

A Minősített archiválási szolgáltató biztonsági és üzemeltetési szabályzata előírja, hogy csak védettkörnyezetben, kettő, bizalmi szerepkört betöltő munkatárs egyidejű fizikai jelenlétében végezhetőkel az alábbi műveletek:

• a Minősített archiválási szolgáltató saját szolgáltatói kulcspárjának generálása;

• a szolgáltatói magánkulcs mentése;

• a szolgáltatói magánkulcs aktiválása;

• a szolgáltatói magánkulcs megsemmisítése.

41


A felsorolt műveleteket végrehajtó személyek közül legalább az egyiknek rendszeradminisztrátornakkell lennie és a másik személy nem lehet független rendszervizsgáló.

Két archiválási tisztviselő együttes közreműködése szükséges az archívumban titkosítottan tároltelektronikus dokumentumok visszafejtéséhez. Az archiválási tisztviselők felelősek a visszafejtettelektronikus dokumentum biztonságos kezeléséért illetve a felhasználás utáni megsemmisítéséért.

A felsorolt műveletek végrehajtása során illetéktelen személy nem lehet jelen a helyiségben.

5.2.3. Az egyes szerepkörökben elvárt azonosítás és hitelesítés

A Minősített archiválási szolgáltató informatikai rendszerét kezelő felhasználók egyedi azonosítóadatokkal rendelkeznek, amely lehetővé teszi a felhasználók biztonságos azonosítását éshitelesítését.

A felhasználók a hitelesítés-szolgáltatás szempontjából kritikus informatikai rendszerekhez csakazonosítás és hitelesítés után férhetnek hozzá.

Az azonosító és hitelesítő adatok a felhasználói jogosultságok megszűnésekor haladéktalanulvisszavonásra kerülnek.

Az informatikai rendszer minden felhasználója és az adminisztratív folyamatok minden szereplőjeszemély szerint kerül azonosításra. A fizikai hozzáférés ellenőrzéséhez a Minősített archiválásiszolgáltató RFID kártyára épülő beléptető rendszert használ, a logikai hozzáférés ellenőrzéseElektronikus aláírást létrehozó eszközön kiadott VPN Tanúsítványok segítségével történik. Sikereshitelesítés nélkül egyetlen biztonsági szempontból kritikus feladatot sem lehet végrehajtani. AMinősített archiválási szolgáltató minden munkatársa annak megfelelő hozzáférési jogosultsággalrendelkezik, amely a feladatköre ellátásához elengedhetetlenül szükséges.

5.2.4. Egymást kizáró szerepkörök

A Minősített archiválási szolgáltató munkatársai egyidejűleg több bizalmi szerepkört isbetölthetnek, de a Minősített archiválási szolgáltató biztosítja, hogy:

• a biztonsági tisztviselő és a regisztrációs felelős nem töltheti be a független rendszervizsgálóiszerepkört;

• a rendszeradminisztrátor nem töltheti be a biztonsági tisztviselő és a függetlenrendszervizsgálói szerepkört;

• az informatikai rendszerért általánosan felelős vezető nem láthatja el a biztonsági tisztviselőés a független rendszervizsgáló feladatkörét.

A fentieken túl a Minősített archiválási szolgáltató törekszik a bizalmi szerepkörök teljesszétválasztására.

5.3. Személyzetre vonatkozó előírások

A Minősített archiválási szolgáltató gondoskodik arról, hogy személyzeti politikája, illetve amunkatársak alkalmazására vonatkozó gyakorlata fokozza és támogassa a Minősített archiválásiszolgáltató működésének megbízhatóságát. A személyzetre vonatkozó óvintézkedések célja azemberi hibák, lopás, csalás és a visszaélések kockázatának csökkentése.

42


A Minősített archiválási szolgáltató már a felvételi szakaszban foglalkozik a személyi biztonsággal,beleértve a szerződések megkötését, illetve azok alkalmazás során történő ellenőrzését. Valamennyibizalmi szerepkör esetén a szerepkört betöltő személyeknek kinevezésükkor érvényes erkölcsibizonyítvánnyal kell rendelkezniük. Minden bizalmi szerepkört betöltő alkalmazottnak és külsőfélnek – aki a Minősített archiválási szolgáltató szolgáltatásaival kapcsolatba kerül – titoktartásinyilatkozatot kell aláírnia.

A Minősített archiválási szolgáltató egyúttal biztosítja valamennyi munkakör betöltéséhez aszükséges közös, általános, illetve az egyes szerepkörök betöltéséhez szükséges speciális szakmaiismeretek megszerzését, illetve továbbfejlesztését.

5.3.1. Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények

Felvételi követelményként a Minősített archiválási szolgáltató minden dolgozója számára legalábbközépfokú végzettséget ír elő, de a Minősített archiválási szolgáltató a továbbiakban is gondotfordít arra, hogy dolgozói megfelelő képzésben részesüljenek. Közvetlenül a felvételt követőena Minősített archiválási szolgáltató új dolgozóit képzésben részesíti, melynek keretében el kellsajátítania a munkája elvégzéséhez szükséges ismereteket. A Minősített archiválási szolgáltatóáltalában támogatja a dolgozók szakmai fejlődését, valamint elvárja, hogy a dolgozók sajátszakterületükön önállóan fejlesszék tudásukat. A Minősített archiválási szolgáltató bizonyosdolgozóinak munkaköri kötelessége a technikai és üzleti újdonságok felderítése és összegyűjtése,rendszerezése, és ezen ismeretek megosztása munkatársaikkal.

A Minősített archiválási szolgáltatónál bizalmi szerepkört csak olyan személy tölthet be, akineka befolyásmentességét és szakértelmét a Minősített archiválási szolgáltató igazolni tudja. Abizalmi szerepkört betöltő személyeknek mentesnek kell lenniük az összeférhetetlenségtől, amelyveszélyeztethetné a Minősített archiválási szolgáltató tevékenységének pártatlanságát.

Az informatikai rendszerért általánosan felelős vezető csak olyan személy lehet, aki rendelkezik:

• szakirányú felsőfokú végzettséggel (matematikusi, fizikusi egyetemi végzettség vagy aműszaki tudományterületre tartozó mérnöki szakon szerzett főiskolai vagy egyetemivégzettség);

• legalább három év, az informatikai biztonsággal összefüggésben szerzett szakmaigyakorlattal.

5.3.2. Előélet vizsgálatára vonatkozó eljárások

A Minősített archiválási szolgáltató vezető munkakörben illetve bizalmi szerepkörben csak olyanalkalmazottakat foglalkoztat, akik:

• büntetlen előélettel rendelkeznek és nincs ellenük folyamatban olyan eljárás, amely abüntetlenséget befolyásolhatja;

• nem állnak a bizalmi szolgáltatási tevékenység gyakorlását kizáró foglalkozástól eltiltáshatálya alatt.

Kinevezéskor a Minősített archiválási szolgáltató vezető munkakört betöltő alkalmazottjánaknyilatkozatával, bizalmi szerepkört betöltő alkalmazottjának 3 hónapnál nem régebbi erkölcsibizonyítvánnyal kell igazolnia büntetlen előéletét.

43


A Minősített archiválási szolgáltató a felvételi eljárás során ellenőrzi a jelentkező önéletrajzábanmegadott releváns információk valódiságát, úgy mint előző munkahely, szakmai referenciák,legfontosabb képzettség.

5.3.3. Képzési követelmények

A Minősített archiválási szolgáltató az újonnan felvett alkalmazottakat képzésben részesíti, amelysorán elsajátítják az adott munkakör ellátásához szükséges mértékben:

• a PKI alapismereteket;

• a Minősített archiválási szolgáltató informatikai rendszerének sajátosságait és kezelésénekmódját;

• a szerepkörük ellátásához szükséges speciális ismereteket;

• a Minősített archiválási szolgáltató nyilvános és belső szabályzataiban meghatározottfolyamatokat, eljárásokat;

• az egyes tevékenységek jogi következményeit;

• az alkalmazandó informatikai biztonsági szabályokat;

• az adatvédelmi szabályokat.

A Minősített archiválási szolgáltató éles informatikai rendszereihez csak a képzést sikeresen teljesítőalkalmazottak kapnak hozzáférési jogosultságot.

5.3.4. Továbbképzési gyakoriságok és követelmények

A Minősített archiválási szolgáltató gondoskodik arról, hogy az alkalmazottak folyamatosan amegfelelő tudással rendelkezzenek, így szükség esetén továbbképzést, vagy ismétlő jellegű képzéstkell tartani.

A Minősített archiválási szolgáltató továbbképzést tart, ha folyamataiban vagy informatikairendszerében változás áll be.

A képzési anyag legalább 12 havonta felülvizsgálatra kerül, és tartalmazza az új fenyegetéseket ésbiztonsági megoldásokat.

A továbbképzés megfelelően dokumentálásra kerül, amelyből egyértelműen megállapítható atovábbképzés tematikája és a résztvevő dolgozók köre.

5.3.5. Munkabeosztás körforgásának sorrendje és gyakorisága

A Minősített archiválási szolgáltató nem alkalmaz kötelező jellegű körforgást az egyesmunkabeosztások között.

44


5.3.6. Felhatalmazás nélküli tevékenységek büntető következményei

A Minősített archiválási szolgáltató a dolgozókkal kötendő munkaszerződésben szabályozza adolgozók felelősségre vonásának lehetőségeit a dolgozó által elkövetett mulasztások, hibák,vétlen vagy szándékos károkozások esetére. Amennyiben egy munkatárs – szándékosan vagygondatlanul – kötelezettségeit megsérti, vele szemben a Minősített archiválási szolgáltatószankciót alkalmazhat, amelyet az elkövetés módjára és következményeire tekintettel állapítmeg. Szankcióként alkalmazható a jutalom megvonása, fegyelmi eljárás, elbocsátás, kinevezésvisszavonása vagy büntetőjogi felelősségre vonás kezdeményezése.

Valamennyi bizalmi szerepkört betöltő munkatárs a szerepkörbe kinevezéskor a foglalkoztatásidokumentumok részeként:

• írásos tájékoztatást kap jogszabályi kötelezettségeiről, jogairól, a személyes adatai kezelésérevonatkozó minősítési és kezelési szabályokról;

• munkaköri leírást kap, mely tartalmazza az őt érintő biztonsági feladatokat;

• titoktartási nyilatkozatot ír alá, melyben a biztonsági intézkedések be nem tartásával járó,őt érintő következmények (büntető szankciók) is megtalálhatóak.

A felsorolt dokumentumok tartalmazzák azokat a munkajogi következményeket és egyébszankciókat, amelyek kötelezettségszegés esetén alkalmazhatóak.

5.3.7. Szerződéses viszonyban foglalkoztatottakra vonatkozó követelmények

A Minősített archiválási szolgáltató bizalmi munkakörben csak vele munkaviszonyban álló személytalkalmaz.

Az egyéb feladatok ellátására alvállalkozói vagy megbízásos szerződésben foglalkoztatott szerződőszemélyeket a Minősített archiválási szolgáltató lehetőség szerint a korábban már minősítettbeszállítók listájáról választ. A beszállítókkal a Minősített archiválási szolgáltató a munkavégzéstmegelőzően írásban szerződést köt.

Valamennyi szerződő fél – még a tényleges munkavégzés megkezdése előtt – titoktartásinyilatkozatot ír alá, melyben vállalja, hogy a munkavégzés során későbbiekben megismertüzleti/vállalati titkokat illetéktelen személynek nem fedi fel, egyéb módon nem hasznosítja. Atitoktartási nyilatkozat tartalmazza a megszegése esetén alkalmazandó szankciókat is. A szerződésalapján foglalkoztatott külső munkavállalókkal szemben elvárás a megfelelő szakismeret megléte,részükre a Minősített archiválási szolgáltató nem tart képzéseket.

5.3.8. A személyzet számára biztosított dokumentációk

A Minősített archiválási szolgáltató folyamatosan biztosítja a dolgozók részére a szerepkörükellátásához szükséges aktuális dokumentációk, szabályzatok rendelkezésre állását.

Minden bizalmi munkakört betöltő munkatárs írásban megkapja a következő dokumentumokat:

• a Minősített archiválási szolgáltató szervezeti biztonsági szabályzata;

• aláírandó titoktartási nyilatkozat;

45


• egyéni munkaköri leírás;

• a tervezett és rendkívüli továbbképzések alkalmával az adott oktatási formához tartozóoktatási segédanyagokat.

A szervezeti biztonsági szabályzatban bekövetkező változásokról írásos értesítő formájában mindendolgozó tájékoztatást kap.

5.4. Naplózási eljárások

A Minősített archiválási szolgáltató a biztonságos informatikai környezet fenntartása érdekébena teljes informatikai rendszerét átfogó eseménynaplózó és ellenőrző rendszert üzemeltet.

5.4.1. A tárolt események típusai

A Minősített archiválási szolgáltató az általánosan elfogadott informatikai biztonsági gyakorlatnakmegfelelően naplóz minden olyan biztonsággal kapcsolatos eseményt, amely információtszolgáltathat az informatikai rendszerben vagy annak fizikai környezetében történt eseményekről,változásokról. Minden naplóbejegyzésnél eltárolja:

• az esemény időpontját;

• az esemény típusát;

• a végrehajtás sikerességét illetve sikertelenségét;

• a felhasználó vagy rendszer azonosítóját, aki/amely az eseményt kiváltotta.

Az összes lényeges naplóbejegyzést elérhetővé teszi a független rendszervizsgálók részére, akik aMinősített archiválási szolgáltató működésének megfelelőségét vizsgálják.

A Minősített archiválási szolgáltató naplózza minimálisan az alábbi eseményeket:

• BELSŐ ÓRA

– a belső óra szinkronizációja az UTC időhöz, beleértve az üzemszerű újrakalibrálásokatis;

– a szinkronizáció elvesztése;

• ARCHIVÁLÁS

– az e-akták feltöltésével és a bennük lévő aláírások ellenőrzésével kapcsolatosinformációk;

– az adatok rendelkezésre állásának, sértetlenségének megőrzésével, hitelességének ésletagadhatatlanságának megőrzésével, értelmezhetőségének fenntartásával és törlésévelkapcsolatos információk;

– az e-akták letöltésével, az igazolás-kérések teljesítésével, és az archívum másszolgáltatónak történő esetleges átadásával kapcsolatos információk;

46


• NAPLÓZÁS

– a naplózó rendszer vagy egyes komponenseinek leállítása, újraindítása;

– a naplózás bármilyen beállításának módosítása, mint pl. gyakoriság, riasztási küszöbérték, vizsgált esemény;

– a tárolt naplózási adatok módosítása vagy törlése;

– a naplózó rendszer hibája miatt végzett tevékenységek;

• RENDSZER BEJELENTKEZÉSEK

– sikeres bejelentkezések, sikertelen bejelentkezési próbálkozások bizalmi szerepkörökbe;

– jelszó alapú azonosítás esetén:

∗ az engedélyezett sikertelen bejelentkezési próbálkozások számánakmegváltoztatása;

∗ az engedélyezett sikertelen bejelentkezési próbálkozások számának elérésefelhasználói bejelentkezéskor;

∗ sikertelen bejelentkezések miatt zárolt felhasználó újbóli engedélyezése;

– az azonosítási technika változtatása (például jelszó alapúról PKI alapúra);

• KULCSKEZELÉS

– a szolgáltatóikulcsok teljes életciklusára vonatkozó valamennyi esemény (kulcsgenerálás, betöltés,elmentés stb.);

• TANÚSÍTVÁNY KEZELÉS

• ADATMOZGÁSOK

– bármilyen, a biztonság szempontjából kritikus adat manuális bevitele a rendszerbe;

– a rendszer által fogadott, biztonsági szempontból fontos adatok, üzenetek;

• HSM

– HSM installálása;

– HSM eltávolítása;

– HSM selejtezése, megsemmisítése;

– HSM szállítása;

– HSM tartalmának törlése (nullázás);

– HSM feltöltése kulcsokkal, tanúsítványokkal;

• KONFIGURÁCIÓ VÁLTOZÁSA

– hardver;

– szoftver;

– operációs rendszer;

– javító csomag;

47


• FIZIKAI HOZZÁFÉRÉS, TELEPHELY BIZTONSÁG

– személy belépése a CA komponenseket tartalmazó biztonsági területre és onnankilépése;

– hozzáférés egy CA rendszer komponenshez;

– a fizikai biztonság ismert vagy gyanított megsértése;

– tűzfal és router forgalmak;

• MŰKÖDÉSI RENDELLENESSÉGEK

– rendszerösszeomlás, hardver hiba;

– szoftveres hibák;

– szoftverintegritás ellenőrzési hiba;

– hibás vagy rossz helyre továbbított üzenetek;

– hálózatot ért támadások, támadási kísérletek;

– berendezés hiba;

– elektromos hálózati üzemzavar;

– szünetmentes tápegység hiba;

– lényeges hálózati szolgáltatás hozzáférési hiba;

– a Minősített elektronikus archiválási rend vagy a Minősített elektronikus archiválásiszolgáltatási szabályzat megsértése;

– operációs rendszer órájának törlése;

• EGYÉB ESEMÉNYEK

– személy kinevezése biztonsági szerepkörbe;

– operációs rendszer telepítése;

– PKI alkalmazás telepítése;

– rendszer elindítása;

– belépési kísérlet a PKI alkalmazásba;

– jelszó módosítási, beállítási kísérlet;

– a belső adatbázis elmentése, visszaállítása mentésből;

– fájl műveletek (pl. létrehozás, átnevezés, áthelyezés);

– adatbázis hozzáférés.

5.4.2. A naplófájl feldolgozásának gyakorisága

A Minősített archiválási szolgáltató független rendszervizsgálói a keletkezett naplóbejegyzéseketminden munkanapon átvizsgálják.

A kiértékelés során meggyőződnek a vizsgált naplóállományok hitelességéről és sértetlenségéről,ellenőrzik a bejegyzésekben talált hibaüzeneteket, szükség esetén dokumentálják az eltérést ésintézkedéseket hoznak az eltérés okának megszüntetése érdekében.

48


Az informatikai rendszerek ellenőrzésére a Minősített archiválási szolgáltató automatizált ellenőrzőrendszereket is használ, amelyek előre beállított szempontok szerint folyamatosan figyelik akeletkező naplóbejegyzéseket és szükség esetén riasztják az üzemeltetés munkatársait.

A vizsgálat ténye, a vizsgálat eredményei és az esetleges feltárt hiányosságok elhárítása érdekébenmeghozott intézkedések megfelelően dokumentálásra kerülnek.

5.4.3. A naplófájl megőrzési időtartama

Az online rendszerből való kitörlés előtt a naplóállományokat a Minősített archiválási szolgáltatóarchiválja és gondoskodik azok biztonságos megőrzéséről az 5.5.2 fejezetben meghatározott ideig.

Ezen időtartamig a Minősített archiválási szolgáltató biztosítja az archivált adatok olvashatóságát,megőrzi az ehhez szükséges szoftver és hardver eszközöket.

5.4.4. A naplófájl védelme

A Minősített archiválási szolgáltató az előírt megőrzési ideig tárolja és védi a keletkezettnaplóállományokat. A megőrzési idő teljes időtartama alatt biztosítja a naplóadatok:

• védelmét az illetéktelen felfedés ellen: a naplóállományokhoz csak az arra jogosultak –elsősorban a független rendszervizsgálók – férhetnek hozzá;

• rendelkezésre állását: a jogosultak számára biztosítja a naplóállományokhoz való hozzáférést;

• integritását: megakadályozza például a naplóállományokban bármilyen adat módosítását,törlését, bejegyzések sorrendjének megváltoztatását.

A Minősített archiválási szolgáltató a naplóbejegyzéseket minősített Időbélyegzővel látja el, anaplóbejegyzések törlések és beszúrások észrevétlen végrehajtását kizáró módon kerülnek tárolásra.

A naplóállományt a véletlen és szándékos rongálások ellen biztonsági mentések védik. A személyesadatokat tartalmazó naplóbejegyzések esetében a Minősített archiválási szolgáltató gondoskodikaz adatok bizalmas tárolásáról. A naplóállományokhoz való hozzáférésre csak azok jogosultak,akiknek erre munkakörük folytán feltétlenül szükségük van. A Minősített archiválási szolgáltatóa hozzáféréseket biztonságos módon ellenőrzi. A naplóállományokat a Minősített archiválásiszolgáltató biztonságos környezetben őrzi. Az állományokról a működés másodlagos helyszínénmásolati példányokat is tart.

5.4.5. A naplófájl mentési eljárásai

Az üzemeltetés során az egyes rendszerekben folyamatosan keletkező naplóbejegyzésekből napinaplóállományok generálódnak.

A napi naplóállományokat a Minősített archiválási szolgáltató 2 példányban archiválja és apéldányokat egymástól fizikailag elkülönülő helyszíneken az előírt ideig megőrzi.

A mentés operatív folyamatait a Minősített archiválási szolgáltató mentési szabályzatai írják lerészletesen.

49


5.4.6. A naplózás adatgyűjtési rendszere

A naplóbejegyzéseket az egyes alkalmazások automatikusan gyűjtik és továbbítják a naplózórendszer felé.

A naplózó funkciók automatikusan indulnak a rendszer indításakor és a rendszer működésénekteljes időtartama alatt folyamatosan működnek.Az automatikus vizsgáló és naplózó rendszerek működési rendellenessége esetén a Minősítettarchiválási szolgáltató felfüggeszti az érintett területek működését az üzemzavar elhárításáig.

5.4.7. Az eseményeket kiváltó alanyok értesítése

A hibaeseményt kiváltó személyeket, szervezeteket és alkalmazásokat a Minősített archiválásiszolgáltató nem feltétlenül értesíti minden esetben, szükség esetén azonban bevonhatja őket azesemény kivizsgálásába. Az esemény kiváltásában érintett Ügyfeleknek ilyen esetben kötelességüka Minősített archiválási szolgáltatóval való együttműködés a hiba feltárása érdekében.

5.4.8. Sebezhetőség felmérése

A naplóbejegyzések napi rendszerességgel végzett feldolgozásán túl a Minősített archiválásiszolgáltató szakemberei figyelik a nyilvánosan elérhető információt a lehetségessérülékenységekről, szoftver javító csomagokról. Elemzik a gyűjtött információt, osztályba soroljáka sérülékenységet és szükség esetén értesítik a vezetőséget az eredményről és intézkedési tervetjavasolnak a rendszer biztonságának növelésére.Minden nagyobb jelentőségű feltárt hiányosság vagy külső fenyegetettség esetén az észlelésétőlszámított 48 órán belül, de legalább évente egyszer a Minősített archiválási szolgáltató szakembereiátfogó sebezhetőség vizsgálatot végeznek, amely segítségével feltérképezik a potenciális belső éskülső fenyegetettségeket, amelyek jogosulatlan hozzáféréseket eredményezhetnek.

A vizsgálat eredményei alapján a Minősített archiválási szolgáltató

• intézkedési tervet hoz létre és hajt végre a sérülékenységek megszüntetése érdekében, vagy

• dokumentálja a döntés alapjául szolgáló tényeket, elfogadja a maradvány kockázatokat ésnem hoz intézkedési tervet a sérülékenység megszüntetésére.

Az új program verziókat vagy program javító csomagokat a Minősített archiválási szolgáltatóelőször a teszt rendszeren telepíti és csak a sikeres tesztek elvégzése után kerülnek telepítésre aszolgáltatásokat nyújtó éles rendszeren.Az új szoftver verziók vagy javító csomagok nem kerülnek bevezetésre az éles rendszeren,amennyiben olyan további sérülékenységet vagy instabilitást okoznak a rendszer működésében, aminagyobb gondot eredményez az alkalmazásukból származó előnynél. Az alkalmazás mellőzésénekokát a Minősített archiválási szolgáltató dokumentálja.

5.5. Adatok archiválása

5.5.1. Az archivált adatok típusai

A Minősített archiválási szolgáltató felkészült elektronikus és papíralapú dokumentumokmegfelelően biztonságos, hosszú idejű archiválására.

50


A Minősített archiválási szolgáltató minimálisan az alábbi jellegű információt archiválja:

• a Minősített archiválási szolgáltató akkreditációjával kapcsolatos valamennyi irat;

• a Minősített elektronikus archiválási rend(ek) és Minősített elektronikus archiválásiszolgáltatási szabályzat(ok) valamennyi kibocsátott verziója;

• az Általános szerződési feltételek valamennyi kibocsátott verziója;

• a Minősített archiválási szolgáltató működésével kapcsolatos szerződések;

• valamennyi elektronikus és papíralapú naplóbejegyzés.

5.5.2. Az archívum megőrzési időtartama

A Minősített archiválási szolgáltató az archivált adatokat az alábbi időtartamokig őrzi meg:

• a Minősített elektronikus archiválási szolgáltatási szabályzatot a hatályon kívül helyezéstőlszámított 10 évig;

5.5.3. Az archívum védelme

A Minősített archiválási szolgáltató valamennyi archivált adatot két példányban, két egymástólfizikailag elkülönült helyszínen őrzi. Az egyetlen hiteles példányban rendelkezésre álló papíralapúdokumentumról hiteles papíralapú, vagy elektronikus másolatot készít a vonatkozó jogszabályokbetartásával.

A két helyszín mindegyike teljesíti az archiválással szemben támasztott biztonsági és egyébkövetelményeket.

Az archivált adatok megőrzése során a Minősített archiválási szolgáltató gondoskodik az archiváltadatok

• sértetlenségének megőrzéséről;

• illetéktelen megismerés elleni védelméről;

• rendelkezésre állásáról;

• hitelességének megőrzéséről.

Az archivált elektronikus adatokat legalább fokozott biztonságú elektronikus aláírással vagybélyegzővel és minősített Időbélyegzővel látja el.

5.5.4. Az archívum mentési folyamatai

A Minősített archiválási szolgáltató a papír alapú dokumentumok eredeti példányáról hiteleselektronikus másolatot készít a vonatkozó jogszabályok betartásával.

Az elektronikus másolatokat a többi védendő elektronikus dokumentummal azonos szabályokszerint tárolja.

A Minősített archiválási szolgáltató a hiteles elektronikus másolatok archiválása után az eredetipapír alapú dokumentumokat megsemmisítheti.

51


5.5.5. Az adatok időbélyegzésére vonatkozó követelmények

Valamennyi elektronikus naplóbejegyzés tartalmaz időjelzést, amelyen legalább másodpercpontossággal fel van tüntetve a rendszer által szolgáltatott időpont.

Az időpontot a Minősített archiválási szolgáltató belső órája adja, amelyet a Minősített archiválásiszolgáltató két egymástól független Stratum-1 UTC referencia időforrással szinkronizál:

• az egyik pontos idő forrás a műhold alapú GPS jelet használja;

• a másik pontos idő forrás a hosszúhullámú pontos idő szolgáltatásra (DCF77) támaszkodik.

A Minősített archiválási szolgáltató a fenti két független Stratum-1 időforráshoz 0,1 másodpercpontossággal szinkronizálja saját belső óráját. E szinkronizációt a Minősített archiválási szolgáltatónaponta legalább négy alkalommal elvégzi.

A Minősített archiválási szolgáltató a belső óra pontosságának ilyen szinten tartásával garantálja,hogy valamennyi időjelzés pontossága legfeljebb 1 másodperccel tér el az UTC időalaptól.

A Minősített archiválási szolgáltató a napi naplóállományokat minősített Időbélyegzővel látja el.

Az archivált adatok megőrzése során szükség esetén (pl. algoritmusváltás, az eredetiIdőbélyegző érvényességének lejárata) a Minősített archiválási szolgáltató gondoskodik az adatokhitelességének megőrzéséről.

5.5.6. Az archívum gyűjtési rendszere

A Minősített archiválási szolgáltató védett informatikai rendszerén belül keletkezneka naplóbejegyzések, onnan csak az elektronikusan aláírt, minősített Időbélyegzővel védettnaplóállományok kerülhetnek ki.

A szolgáltatás nyújtása során keletkezett papíralapú iratok egy eredeti példányát a Minősítettarchiválási szolgáltató az általa működtetett belső adattárban tárolja és őrzi.

5.5.7. Archív információk hozzáférését és ellenőrzését végző eljárások

A Minősített archiválási szolgáltató a naplóállományok előállítását automatikusan végzi, ahitelesített naplóállományokat naponta állítja elő.

Az archivált adatállományokat védi a jogosulatlan hozzáféréstől.

Az arra jogosultaknak biztosítja az archivált adatokhoz való ellenőrzött hozzáférést:

• az Ügyfelek jogosultak a róluk tárolt adatok megtekintésére;

• jogi eljárásokban bizonyíték nyújtása céljából biztosítani kell a szükséges adatokat.

5.6. Kompromittálódást és katasztrófát követő helyreállítás

A Minősített archiválási szolgáltató katasztrófa esetén minden szükséges intézkedést meghozannak érdekében, hogy a szolgáltatáskiesésből eredő károkat minimalizálja és a szolgáltatásokata lehető legrövidebb időn belül helyreállítsa.

A bekövetkezett incidens kiértékelése alapján meghozza a szükséges módosító, javítóintézkedéseket, hogy az incidens jövőbeli előfordulását megakadályozza.

52


A hiba elhárítása után az eseményt jelenti a Nemzeti Média- és Hírközlési Hatóságnak, mintfelügyeleti szervnek.

5.6.1. Váratlan esemény és kompromittálódás kezelési eljárások

A Minősített archiválási szolgáltató rendelkezik üzletmenet folytonossági tervvel.

A Minősített archiválási szolgáltató kialakított és folyamatosan üzemben tart egy teljes értékűtartalékrendszert, amely az elsődleges helyszíntől biztonságos távolságra, földrajzilag különbözőhelyszínen található és önállóan is alkalmas a szolgáltatások teljes körű ellátására.

A Minősített archiválási szolgáltató folyamatosan teszteli a tartalékrendszer működését és éventefelülvizsgálja az üzletmenet folytonossági terveit.

A Minősített archiválási szolgáltató megnövelt biztonságú eszközökkel és rendszerekkel rendelkezika hardver és szoftver meghibásodások valamint az adatsérülések okozta szolgáltatáskiesésminimalizálása érdekében. A szolgáltatások helyreállíthatóságát a Minősített archiválási szolgáltatóháttérszerződései és saját tartalék eszközei garantálják.

A Minősített archiválási szolgáltató úgy alakította ki a minősített szolgáltatásokat nyújtóinformatikai rendszerét, hogy bármely egy eszköz kiesése esetén képes zavartalanul folytatni aminősített szolgáltatások nyújtását.

5.6.2. Meghibásodott IT erőforrások, szoftverek és/vagy adatok

A Minősített archiválási szolgáltató informatikai rendszereit megbízható hardver és szoftverkomponensekből építette fel. A kritikus funkciókat redundáns rendszerelemek alkalmazásávalvalósította meg úgy, hogy azok egy elem meghibásodása esetén is képesek legyenek a továbbiműködésre.

A Minősített archiválási szolgáltató naponta teljes mentést készít az adatbázisairól és akeletkezett naplózási eseményekről.

A Minősített archiválási szolgáltató olyan gyakorisággal készít teljes rendszermentést, amelybiztosítja, hogy abból katasztrófa esetén a teljes szolgáltatás helyreállítható legyen.

A Minősített archiválási szolgáltató üzletmenet folytonossági terve pontos előírásokat tartalmaza kritikus rendszerkomponensek meghibásodásának esetén végrehajtandó feladatokra.

A Minősített archiválási szolgáltató a hiba elhárítása és a rendszer integritásának helyreállításaután a lehető leghamarabb újraindítja a szolgáltatásait.

5.6.3. Működés folyamatosságának biztosítása katasztrófát követően

A Minősített archiválási szolgáltató üzletmenet folytonossági tervében meghatározta a természetivagy egyéb katasztrófa miatt bekövetkezett szolgáltatás leállás esetén végrehajtandó feladatokat.

A katasztrófa bekövetkezése esetén haladéktalanul életbe lépteti a rendelkezéseket és megkezdi akárok elhárítását, a szolgáltatások helyreállítását.

A másodlagos szolgáltatási helyszín az elsődleges telephelytől olyan távolságra található, hogy egyvalószínűsíthető katasztrófa ne érhesse mindkét helyszínt egyszerre.

A Minősített archiválási szolgáltató a lehető legrövidebb időn belül köteles értesíteni az érintettfelhasználókat a katasztrófa bekövetkezéséről.

53


A szolgáltatások helyreállítása után a Minősített archiválási szolgáltató a lehető legrövidebb időnbelül helyreállítja a katasztrófa során tönkrement eszközeit és az eredeti szolgáltatás biztonságiszintet.

5.7. Az Archiválási szolgáltatás leállítása

A Minősített archiválási szolgáltató a szolgáltatások valamelyikének tervezett megszüntetéseesetén legkevesebb 60 nappal a szolgáltatás leállítását megelőzően értesíti a végfelhasználókatés a Nemzeti Média- és Hírközlési Hatóságot.

A Minősített archiválási szolgáltató a szolgáltatás leállítására vonatkozó bejelentéssel egyidejűlegleállítja a következő szolgáltatásait:

• Új elektronikus dokumentumok befogadása az archívumba.

A Minősített archiválási szolgáltató a tervezett leállás előtt legalább 30 nappal felmondja aSzolgáltatási szerződéseket és felszólítja az Előfizetőket az archívumban tárolt elektronikusdokumentumaik letöltésére.

A Minősített archiválási szolgáltató a tervezett leállás előtt legalább 20 nappal leállítja a következőszolgáltatásait:

• Igazolások kiadása a tárolt elektronikus dokumentumokról

A leállás időpontjával egyidejűleg a Minősített archiválási szolgáltató a következő szolgáltatásokatállítja le:

• információ szolgáltatás,

• archívumban tárolt elektronikus dokumentumok letöltése.

A Minősített archiválási szolgáltató a tervezett megszűnés előtt tárgyalásokat kezd más vele azonosbesorolású szolgáltatókkal szolgáltatásainak átvételéről. Nyilvántartásait a bizalmas felhasználóiadatokkal együtt a 8.3 fejezet szerint mindenképpen átadja egy ilyen szolgáltatónak, vagymegállapodás hiányában a Nemzeti Média- és Hírközlési Hatóságnak, egyéb szolgáltatásait atárgyalások eredményétől függően átadja vagy átadás nélkül megszünteti.

A szolgáltatás nyújtásához használt Tanúsítványok visszavonásáról (és a magánkulcsokmegsemmisítéséről) – a tárgyalások eredményétől függően – a Minősített archiválási szolgáltatófokozatosan intézkedik a 60 napos időszakban.

A Minősített archiválási szolgáltató a tárgyalások végeredményéről tájékoztatja az Ügyfeleket ésa Nemzeti Média- és Hírközlési Hatóságot. A Minősített archiválási szolgáltató az Ügyfeleketelektronikus levélben, az Érintett feleket a honlapján történő közzététel útján tájékoztatja.

A Minősített archiválási szolgáltató a szolgáltatás befejezésekor az informatikai rendszerébenfoglalt adatairól teljes körű, minősített Időbélyegzővel ellátott mentést készít.

A Minősített archiválási szolgáltató – annak érdekében, hogy adatait átadhassa egy másikszolgáltatónak – az adatokat az új szolgáltató által fogadni képes médián és formátumbanhelyezi el vagy biztosítja az új szolgáltató számára az adatok eredeti formátumban történőfeldolgozásának lehetőségét, amelyekhez átadja a megfelelő eszközöket, dokumentációkat és

54


ismereteket. A szolgáltatás leállítását követően a Minősített archiválási szolgáltató az Előfizetővelegyeztetett módon átadja az archivált fájlokat, aláírásokat, bélyegzőket és érvényességi láncokataz Előfizetőnek, majd visszaállíthatatlan módon törli azokat az archívumából a 3.6. fejezetbenleírt módon.

6. Műszaki biztonsági óvintézkedések

A Minősített archiválási szolgáltató módosítás ellen védett, megbízható, biztonságtechnikailagértékelt termékekből álló informatikai rendszereket használ szolgáltatásai nyújtásához. AMinősített archiválási szolgáltató a szolgáltatói kriptográfiai kulcsokat teljes életciklusuk alattmegfelelő tanúsítással rendelkező HSM eszközökben kezeli.

Mind a Minősített archiválási szolgáltató, mind a rendszert szállító és kivitelező vállalkozók jelentőstapasztalatokkal rendelkeznek hitelesítés-szolgáltatás kiépítésében és nemzetközileg elismerttechnológiát alkalmaznak.

A Minősített archiválási szolgáltató folyamatosan nyomon követi a kapacitás igényeket és a trendekfelállításával becslést ad a jövőbeni várható kapacitás igényekre. Igény esetén gondoskodik aszűkös kapacitások bővítéséről, ezáltal biztosítja a szükséges feldolgozási és tárolási kapacitásokfolyamatos rendelkezésre állását.

6.1. A magánkulcsok védelme

A Minősített archiválási szolgáltató gondoskodik a birtokában lévő magánkulcsok biztonságoskezeléséről, megakadályozza a magánkulcsok felfedését, lemásolását, törlését, módosítását,jogosulatlan használatát. A Minősített archiválási szolgáltató csak addig őrzi a magánkulcsokat,ameddig azt a szolgáltatás nyújtása feltétlenül megköveteli.

6.1.1. Kriptográfiai modulra vonatkozó szabványok és előírások

A Minősített archiválási szolgáltató rendszerei a magánkulcsokat olyan biztonságos hardvereszközökben tárolják, amelyek:

• megfelelnek az ISO/IEC 19790 [37] követelményeinek,

• vagy megfelelnek a FIPS 140-2 [45] 3-as, illetve annál magasabb szintű követelményeknek,

• vagy megfelelnek a CEN 14167-2 [46] munkacsoport egyezmény követelményeinek,

• vagy olyan megbízható rendszerek, amely az MSZ/ISO/IEC 15408 [36] szerint, illetveazzal egyenértékű biztonsági kritériumok szerint 4-es vagy magasabb értékelési garanciaszinten vannak értékelve. Az értékelésnek a jelen dokumentum követelményeinek megfelelőbiztonsági rendszerterven, vagy biztonsági előirányzaton kell alapulnia.

A Minősített archiválási szolgáltató a szolgáltatói magánkulcsokat a HSM eszközön kívül csakkódolt formában tárolja. A kódoláshoz csak az Eüt. [6] 92. § (1) b) szerint kiadott aktuálisNemzeti Média- és Hírközlési Hatóság határozat szerinti algoritmusokat és kulcsparaméterekethasznál, amelyek várhatóan a kulcs teljes élettartama alatt képesek ellenállni a kriptográfiaitámadásoknak.

55


A Minősített archiválási szolgáltató a szolgáltatói magánkulcsokat kódolt formában is fizikailagbiztonságos helyszínen tárolja az Adatközpont páncélszekrényében, ahol azokhoz csak az arrajogosultak férhetnek hozzá.A Minősített archiválási szolgáltató a kriptográfiai algoritmusok vagy kulcsparaméterek gyengüléseesetén a kódolt kulcsokat megsemmisíti vagy erősebb védelmet biztosító algoritmus éskulcsparaméterek felhasználásával tovább kódolja.

6.1.2. Magánkulcs többszereplős (n-ből m) használata

A Minősített archiválási szolgáltató alkalmazza az "n-ből m" ellenőrzést a magánkulcsokkalkapcsolatos kulcsgondozási funkciók aktivizálásánál. A paraméterek úgy lettek meghatározva,hogy a szolgáltatói magánkulcsaival végzett kritikus műveletek végrehajtásához legalább kettő,bizalmi szerepkört betöltő munkatárs egyidejű jelenlétére legyen szükség.

6.1.3. Magánkulcs letétbe helyezése

A Minősített archiválási szolgáltató a szolgáltatói magánkulcsait nem helyezi letétbe.

6.1.4. Magánkulcs mentése

A Minősített archiválási szolgáltató minden szolgáltatói magánkulcsáról biztonsági másolatotkészít még a magánkulcs használatbavételét megelőzően a 6.1.1. fejezetben leírtak szerint védettkörnyezetben, legalább két bizalmi szerepkört betöltő személy együttes jelenlétében, más személyekkizárásával. A mentés során a magánkulcs titkosított formában hagyja el a modult, e titkosítottkulcsot később másik modulba be lehet tölteni. Mind a mentés, mind a visszatöltés csakis a 6.1.2.fejezetben leírt védelmi mechanizmus mellett végezhető.A Minősített archiválási szolgáltató a biztonsági másolatot két példányban tárolja, ebből legalábbaz egyik példányt a szolgáltatás nyújtásától eltérő helyszínen.A biztonsági másolatok kezelésére és megőrzésére ugyanolyan szigorú biztonsági előírásokvonatkoznak, mint az éles rendszer üzemeltetésére.

6.1.5. Magánkulcs archiválása

A Minősített archiválási szolgáltató nem archiválja magánkulcsait.

6.1.6. Magánkulcs bejuttatása hardver kriptográfiai eszközbe, vagy onnan történőexportja

A Minősített archiválási szolgáltató valamennyi szolgáltatói magánkulcsát a követelményeknekmegfelelő HSM eszközben állítja elő.A magánkulcsok nem léteznek nyílt formában a HSM eszközön kívül.A Minősített archiválási szolgáltató a magánkulcsot csak biztonsági másolat készítése céljábólexportálja a HSM eszközből.A magánkulcs HSM eszközök közötti szállítása csak biztonsági másolat formájában engedélyezett.A szolgáltatói magánkulcsok exportálása vagy betöltése minden esetben a 6.1.2. fejezetben leírtmódon történik.

56


6.1.7. Magánkulcs tárolása hardver kriptográfiai eszközben

A Minősített archiválási szolgáltató a szolgáltatás nyújtásához használt magánkulcsait a 6.1.1.fejezet szerinti kriptográfiai modulokban tartja.

A HSM eszközben a magánkulcsokat az eszköz tanúsításában meghatározott módon tárolja éshasználja a vonatkozó kezelési utasítások maradéktalan betartásával.

6.1.8. A magánkulcs aktiválásának módja

A Minősített archiválási szolgáltató szolgáltatói magánkulcsait biztonságos HSM eszközbentárolja, a használat során betartja a HSM eszközfelhasználói útmutatójában és a tanúsítási dokumentumokban megfogalmazott követelményeket.A HSM eszközt csak a hozzá tartozó operátori kártyákkal lehet aktiválni, a HSM eszközben lévőmagánkulcsokat a modul aktiválása előtt nem lehet használni. A HSM eszközhöz tartozó operátorikártyákat a Minősített archiválási szolgáltató biztonságos környezetben tárolja és e kártyákatkizárólag a Minősített archiválási szolgáltató erre jogosult munkatársai érhetik el.

6.1.9. A magánkulcs deaktiválásának módja

A Minősített archiválási szolgáltató által használt hardver kriptográfia eszközök által kezeltmagánkulcs akkor deaktiválódik, ha az eszköz (szabályos vagy szabálytalan módon) kikerül azaktív állapotból. Ez az alábbi esetekben következik be:

• a felhasználó deaktiválja a kulcsot,

• az eszköz áramellátása megszakad (kikapcsolás vagy tápellátási probléma),

• az eszköz hibaállapotba kerül.

Az így deaktivált magánkulcs mindaddig nem használható, amíg a modul ismét aktív állapotbanem kerül.

6.1.10. A magánkulcs megsemmisítésének módja

A Minősített archiválási szolgáltató használatból kivont, lejártérvényességű vagy kompromittálódott szolgáltatói magánkulcsait olyan módon semmisíti meg,amely lehetetlenné teszi a magánkulcs további használatát.

A Minősített archiválási szolgáltató a biztonságos HSM eszközében tárolt szolgáltatóimagánkulcsok megsemmisítését a felhasznált HSM eszköz felhasználói útmutatójában ésa tanúsítási dokumentumokban megfogalmazott eljárásoknak, követelményeknek megfelelőenvégzi a Minősített archiválási szolgáltató két munkatársának (egy infrastruktúra adminisztrátor ésegy biztonsági tisztviselő) együttes jelenlétében más személyek jelenlétének kizárásával.

A Minősített archiválási szolgáltató dokumentált módon megsemmisíti a magánkulcsról készültminden mentett példányt olyan módon, hogy annak visszaállítása, használata lehetetlenné váljon.

57


6.1.11. A hardver kriptográfiai eszközök értékelése

A 6.1.1 fejezet előírásaival összhangban a Minősített archiválási szolgáltató valamennyi szolgáltatóimagánkulcsát olyan HSM eszközben tárolja, amely:

• rendelkezik ISO/IEC 19790 [37] szerinti tanúsítással,

• vagy rendelkezik FIPS 140-2 Level 3 [45] szerinti tanúsítással,

• vagy rendelkezik a CEN 14167-2 [46] munkacsoport egyezmény követelményeinek valómegfelelést igazoló Common Criteria alapú tanúsítvánnyal,

• vagy rendelkezik a Nemzeti Média- és Hírközlési Hatóság által vagy az Európai Unióvalamely tagállamában nyilvántartásba vett, elektronikus aláírási termékek értékelésérejogosult független tanúsító szervezet által erre a célra kiadott igazolással.

6.2. Aktivizáló adatok

6.2.1. Aktivizáló adatok előállítása és telepítése

A Minősített archiválási szolgáltató a felhasznált HSM eszköz felhasználói útmutatójában ésaz eszköz tanúsítványban megfogalmazott eljárásoknak, követelményeknek megfelelő aktiválómódszereket alkalmaz szolgáltatói magánkulcsainak védelmére.

Jelszó alapú aktivizáló adatok használata esetén a jelszavak kellően bonyolultak a megkívántvédelmi szint biztosítása érdekében.

6.2.2. Az aktivizáló adatok védelme

A Minősített archiválási szolgáltató alkalmazottai a magánkulcsok aktiválásához szükségeseszközöket, aktivizáló adatokat biztonságosan kezelik, műszaki és szervezési intézkedéseksegítségével védik, a jelszavakat csak kódolt formában tárolják.

6.2.3. Az aktivizáló adatok kezelésének egyéb szempontjai

Nincs megkötés.

6.3. Informatikai biztonsági előírások

6.3.1. Speciális informatikai biztonsági műszaki követelmények

A Minősített archiválási szolgáltató informatikai rendszereinek konfigurálása és üzemeltetése soránbiztosítja az alábbi követelmények teljesülését:

• a rendszerhez vagy alkalmazáshoz való hozzáférés engedélyezése előtt a felhasználóazonosságát többfaktoros azonosítással ellenőrzi kártyán tárolt VPN tanúsítványfelhasználásával;

• a felhasználókhoz szerepköröket rendel és biztosítja, hogy minden felhasználó csak aszerepkörének megfelelő jogosultságokkal rendelkezzen;

58


• minden tranzakcióról naplóbejegyzést állít elő és a naplóbejegyzéseket archiválja;

• a biztonságkritikus folyamatok részére biztosítja, hogy a Minősített archiválási szolgáltatóbelső hálózati tartományai kellően védettek legyenek a jogosulatlan hozzáféréstől;

• megfelelő eljárásokat alkalmaz a kulcsvesztés vagy rendszerhiba után a szolgáltatásvisszaállítása érdekében.

6.3.2. Az informatikai biztonság értékelése

A Microsec kiemelten fontosnak tartja Ügyfelei elégedettségét. A magas színvonalú szolgáltatásokfenntartása érdekében a Minősített archiválási szolgáltató ISO 9001 szabványnak megfelelőminőségirányítási rendszert üzemeltet 2002. január 23. óta. A szabványnak való megfelelést aLloyd’s Register Quality Assurance tanúsította.

A Microsec nagy figyelmet fordít az általa üzemeltetett rendszerek biztonságára, ezért főtevékenységi területein a ISO/IEC 27001-nek megfelelő információbiztonság-irányítási rendszert(korábban BS 7799) üzemeltet 2003. május 19. óta. A szabványnak való megfelelést a Lloyd’sRegister Quality Assurance tanúsította.

A minőségirányítási rendszer és az információbiztonság-irányítási rendszer hatóköre kiterjed aMicrosec által nyújtott bizalmi szolgáltatásokra is.

A Microsec kétszintű kockázatelemzése az információ technológiai kockázatokon túlmenőenkiterjed a teljes szervezetre és az üzleti kockázatokra is. A kockázatelemzés legalább éventefelülvizsgálatra kerül. A kockázatelemzés eredménye alapján a Minősített archiválási szolgáltató

• intézkedéseket hoz a feltárt sérülékenységek megszüntetésére, és/vagy

• elfogadja az azonosított maradvány kockázatokat a döntés indokainak rögzítésével.

6.4. Életciklusra vonatkozó műszaki előírások

6.4.1. Rendszerfejlesztési előírások

A Minősített archiválási szolgáltató az éles szolgáltatást nyújtó informatikai rendszereiben csakolyan eszközöket, alkalmazásokat használ, amelyek:

• kereskedelmi dobozos szoftverek, amelyeket dokumentált tervezési módszertan szerintterveztek és fejlesztettek;

• a Minősített archiválási szolgáltató saját maga által kifejlesztett egyedi hardver és szoftvermegoldások, amelyek tervezése során strukturált fejlesztési módszereket és ellenőrzöttfejlesztési környezetet használt;

• a Minősített archiválási szolgáltató részére megbízható fél által kifejlesztett egyedi hardverés szoftver megoldások, amelyek tervezése során strukturált fejlesztési módszereket ésellenőrzött fejlesztési környezetet használtak;

59


• olyan nyílt forráskódú szoftverek, amelyek teljesítik a biztonsági követelményeket ésamelyek megfelelőségét szoftver verifikáció, strukturált fejlesztés és életciklus menedzsmentbiztosítja.

Az informatikai eszközök beszerzése a hardver és szoftver komponensek módosítását kizáró módontörténik, megbízható és rendszeresen minősített szállítók felhasználásával.

A Minősített archiválási szolgáltató a szolgáltatások nyújtásához használt kritikus informatikaieszközöket más célra nem használja.

A Minősített archiválási szolgáltató megfelelő védelmi intézkedésekkel megakadályozza, hogykártékony szoftver kerülhessen a hitelesítés-szolgáltatás nyújtása körében használt eszközökbe.

A hardver és szoftver komponenseket az első használat előtt és azt követően rendszeresen ellenőrzikártékony kódok után kutatva.

A Minősített archiválási szolgáltató a programfrissítések vásárlása vagy fejlesztése soránugyanolyan gondossággal jár el, mint az első verzió beszerzésekor.

A Minősített archiválási szolgáltató megbízható, megfelelően képzett személyzetet alkalmaz aszoftverek és eszközök telepítése során.

A Minősített archiválási szolgáltató csak a szolgáltatás nyújtásához szükséges szoftvereket telepítia szolgáltatást nyújtó informatikai berendezéseire.

A Minősített archiválási szolgáltató rendelkezik változáskövető rendszerrel, amelyben azinformatikai rendszer minden lényeges változtatása dokumentálásra kerül.

A Minősített archiválási szolgáltató a jogosulatlan változások észlelése érdekében automatikusmonitorozó rendszert üzemeltet, amely rögzíti minden állomány változását és a figyeltállományok változása esetén naplóbejegyzést generál vagy figyelmeztető jelzést küld a rendszerüzemeltetőknek.

6.4.2. Biztonságkezelési előírások

A Minősített archiválási szolgáltató változáskövető rendszert használ a szolgáltatásban használtrendszerek telepítésének, konfigurációjának dokumentálására, üzemeltetésére, ellenőrzésére,monitorozására és karbantartására, beleértve a módosításokat és továbbfejlesztéseket is. Aváltozáskövető rendszer alkalmas arra, hogy észleljen a rendszerben történt bármilyenjogosulatlan változtatást, adatbevitelt, amely érinti a szolgáltatásban használt rendszert, atűzfalakat, routereket, programokat és egyéb komponenseket. A szolgáltatásban használt programtelepítésekor a Minősített archiválási szolgáltató minden esetben meggyőződik arról, hogy atelepítendő program a megfelelő verziójú és mentes mindenféle jogosulatlan módosítástól. AMinősített archiválási szolgáltató rendszeresen ellenőrzi a szolgáltatói rendszereiben használtprogramok integritását.

A Minősített archiválási szolgáltató által alkalmazott valamennyi HSM eszköz ellenőrzésre,bevizsgálásra és értékelésre került. A Minősített archiválási szolgáltató ellenőrzi a moduloksértetlenségét:

• az eszközök beszerzését követően az átvétel során,

• a használatbavételt közvetlenül megelőzően,

• rendszeresen az üzemeltetés során.

60


A használatból véglegesen vagy időlegesen kivont HSM eszközből a Minősített archiválásiszolgáltató törli a szolgáltatói kulcsokat.

A Minősített archiválási szolgáltató a használaton kívüli HSM eszközöket fizikailag védetthelyszínen tárolja.

6.4.3. Életciklusra vonatkozó biztonsági előírások

A Minősített archiválási szolgáltató gondoskodik a felhasznált HSM eszközök védelméről azokteljes életciklusa alatt.

A szolgáltatások nyújtásához használt informatikai eszközök, rendszerek üzemeltetése során aMinősített archiválási szolgáltató figyelembe veszi az eszközök életciklusára vonatkozó biztonságiszempontokat, melyek szerint:

• megfelelő tanúsítással rendelkező HSM eszközt használ rendszereiben;

• a HSM eszköz átvételekor a minőség ellenőrzése során meggyőződik róla, hogy a szállításfolyamán biztosították a HSM eszközök feltörés elleni védelmét;

• a HSM eszközöket biztonságos helyen tárolja, a tárolás során biztosítja a HSM eszközökfeltörés elleni védelmét;

• az üzemeltetés során folyamatosan betartja a HSM eszköz biztonsági előirányzatában,használati útmutatójában és a tanúsítási jelentésben szereplő követelményeket;

• a használatból kivont HSM eszközökben tárolt magánkulcsokat olyan módon törli, hogylehetetlené válik a kulcsok visszaállítása.

6.5. Hálózati biztonsági előírások

A Minősített archiválási szolgáltató szigorú ellenőrzés alatt tartja az alkalmazott IT rendszereinekkonfigurációját, minden változást dokumentál, beleértve a legkisebb módosítást, fejlesztést,szoftverfrissítést is. A Minősített archiválási szolgáltató megfelelő eljárásokat használ az ITrendszereiben bekövetkezett tetszőleges hardver vagy szoftver változás észlelésére, a rendszertelepítésére, karbantartására. A Minősített archiválási szolgáltató minden szoftverkomponens elsőbetöltésekor ellenőrzi a komponens eredetiségét, integritását.

A Minősített archiválási szolgáltató megfelelő hálózatbiztonsági intézkedéseket alkalmaz, mintpéldául:

• IT rendszereit jól elválasztott biztonsági zónákra osztja;

• elkülöníti az IT rendszer üzemeltetését támogató rendszereit az éles szolgáltatást nyújtórendszereitől;

• elkülöníti az éles szolgáltatást nyújtó rendszereit a fejlesztésre és tesztelésre szolgálórendszerektől;

• az elkülönített megbízható rendszerek között csak olyan megbízható kommunikációscsatornákon keresztül létesít kapcsolatot, amelyek logikailag el vannak választva máskommunikációs csatornáktól, megbízható végponti azonosítást használnak és védik acsatornákon küldött adatokat a módosítástól és a felfedéstől;

61

7 A MEGFELELŐSÉG VIZSGÁLATA ASZ-MIN 2.11

• az éles szolgáltatást nyújtó IT rendszereit biztonságos hálózati zónában üzemelteti;

• a zónákhoz való hozzáférést és a zónák közötti kommunikációt csak a szolgáltatásnyújtásához szükségesre korlátozza;

• letiltja a nem használt protokollokat és felhasználókat;

• letiltja a használaton kívüli hálózati portokat és szolgáltatásokat;

• csak az IT rendszer megfelelő működéséhez feltétlenül szükséges hálózati alkalmazásokatfuttat.

• a használt szabályrendszert rendszeresen felülvizsgálja.

A Minősített archiválási szolgáltató sérülékenységvizsgálatot végez vagy végeztet a Minősítettarchiválási szolgáltató nyilvános és privát IP címein:

• a CA/Browser Forum kérésétől számított egy héten belül;

• a Minősített archiválási szolgáltató által jelentősnek minősített rendszer vagy hálózativáltoztatás után;

• legalább minden három (3) hónapban.

A Minősített archiválási szolgáltató legalább 3 havonta ellenőrzi a helyi hálózati eszközök (pl.router) konfigurációjának megfelelőségét a Minősített archiválási szolgáltató által meghatározottkövetelményeknek.

A Minősített archiválási szolgáltató évente illetve az informatikai rendszerén történt mindenjelentős változás után sebezhetőségvizsgálatot végeztet egy külső, független szakemberrel, akirendelkezik az ilyen vizsgálat elvégzéséhez szükséges képességekkel, szakértelemmel, eszközökkelés etikai kódexekkel.

6.6. Időbélyegzés

A Minősített archiválási szolgáltató a naplóbejegyzések és egyéb archiválandó elektronikusállományok hitelesítésére az e-Szignó Hitelesítés Szolgáltató által kibocsátott minősítettelektronikus Időbélyegzőket használja.

7. A megfelelőség vizsgálata

A Minősített archiválási szolgáltató tevékenységét az Európai Uniós szabályozással összhangbana Nemzeti Média- és Hírközlési Hatóság felügyeli. A Nemzeti Média- és Hírközlési Hatóságévente legalább egyszer átfogó helyszíni ellenőrzést tart a Minősített archiválási szolgáltatótelephelyén. A helyszíni ellenőrzés előtt a Minősített archiválási szolgáltató külsőauditor igénybevételével átvilágíttatja üzemeltetését és az átvilágításról készült részletesmegfelelőségértékelési jelentést annak kézhezvételétől számított három munkanapon belül aNemzeti Média- és Hírközlési Hatóságnak benyújtja. Az átvizsgálás során azt kell megállapítani,hogy a Minősített archiválási szolgáltató működése megfelel-e az eIDAS Rendeletben [1] és

62


a vonatkozó magyar jogszabályokban megállapított követelményeknek, valamint az alkalmazottMinősített elektronikus archiválási rend(ek)ben és az ennek megfelelő Minősített elektronikusarchiválási szolgáltatási szabályzat(ok)ban támasztott követelményeknek.

Az átvilágítás tematikája és módszertana megfelel az alábbi normatív dokumentumoknak:

• AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE (2014. július 23.)a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról ésbizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről [1];

• ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI); TrustService Provider Conformity Assessment - Requirements for conformity assessment bodiesassessing Trust Service Providers; [19]

• ETSI EN 319 401 V2.2.1 (2018-04); Electronic Signatures and Infrastructures (ESI); GeneralPolicy Requirements for Trust Service Providers [18]

A megfelelőségértékelési vizsgálat eredménye bizalmas dokumentum, csak az arra jogosultakszámára hozzáférhető.

A megfelelőségértékelési jelentés alapján kiállított megfelelőségi tanúsítványt a Minősítettarchiválási szolgáltató honlapján közzéteszi.

A Minősített archiválási szolgáltató vizsgált és tanúsított elemeket (elektronikus aláírásitermékeket, informatikai rendszerelemeket stb.) alkalmaz a szolgáltatásaihoz kapcsolódóan.

A Minősített archiválási szolgáltató a szolgáltatások nyújtásához használt valamennyirendszerelemet biztonsági osztályokba sorolta kockázatmenedzsment rendszere alapján. Ezenrendszerelemekről és a hozzájuk tartozó biztonsági besorolásról a Minősített archiválási szolgáltatóa kockázatmenedzsment rendszere keretében nyilvántartást vezet.

A Minősített archiválási szolgáltató a külső auditon túl saját belső ellenőrzési rendszerrel isrendelkezik, amely segítségével rendszeresen vizsgálja a korábbi auditoknak való megfelelőségetés eltérés esetén megteszi a szükséges lépéseket.

A Minősített archiválási szolgáltató 2002 óta rendelkezik az ISO 9001 szabványnak megfelelőminőségirányítási, valamint 2003 óta a ISO/IEC 27001-nek (korábban BS 7799-nek) megfelelőinformációbiztonság-irányítási rendszerrel, amelyeket külső auditáló szervezet (Lloyd’s RegisterQuality Assurance) auditál és vizsgál felül folyamatosan (lásd: 1.3.1. fejezet).

7.1. Az ellenőrzések körülményei és gyakorisága

A Minősített archiválási szolgáltató évente külső megfelelőségértékelési auditot hajt végre aszolgáltatások nyújtását végző informatikai rendszerén.

7.2. Az auditor és szükséges képesítése

A Minősített archiválási szolgáltató a belső auditokat a független rendszervizsgáló szerepkörrelfelruházott alkalmazottai segítségével rendszeresen végzi.

Az eIDAS és ETSI követelményeknek való megfelelőséget igazoló vizsgálatot olyan szervezet végziel, amely rendelkezik egy EU tagállam nemzeti akkreditációs szervezete által kiadott erre feljogosítófelhatalmazással.

63


7.3. Az auditor és az auditált rendszerelem függetlensége

A külső auditot olyan személy végzi:

• aki független a vizsgált Minősített archiválási szolgáltató tulajdonosi körétől, vezetőségétőlés üzemeltetésétől;

• aki független a vizsgált szervezettől, vagyis sem saját maga, sem közvetlen hozzátartozójanincs munkaviszonyban vagy üzleti kapcsolatban a Minősített archiválási szolgáltatóval;

• akinek díjazása nem függ az audit során végzett tevékenységének megállapításaitól.

7.4. Az auditálás által lefedett területek

Az átvizsgálás lefedi az alábbi területeket:

• hatályos jogszabályoknak való megfelelés;

• műszaki szabványoknak való megfelelés;

• Minősített elektronikus archiválási rend(ek)nek és Minősített elektronikus archiválásiszolgáltatási szabályzat(ok)nak való megfelelés;

• az alkalmazott folyamatok megfelelősége;

• a dokumentálás;

• a fizikai biztonság;

• a személyi állomány megfelelősége;

• az IT biztonság;

• az adatvédelmi szabályok betartása.

7.5. A hiányosságok kezelése

A független auditor az átvizsgálás eredményét egy részletes átvilágítási jelentésben foglalja össze,amely kitér a vizsgált rendszerelemekre, folyamatokra, tartalmazza az átvilágítás során felhasználtbizonyítékokat és vizsgálói megállapításokat. A jelentésben külön fejezetben rögzíti a vizsgálatsorán feltárt eltéréseket és az elhárításukra kitűzött határidőket. A független auditor a vizsgálatsorán feltárt eltérések, hiányosságok súlyossága alapján a jelentésben rögzíthet:

• opcionálisan figyelembe vehető módosítási javaslatokat;

• kötelezően elhárítandó eltéréseket.

A független auditornak a feltárt súlyos eltéréseket haladéktalanul jelentenie kell a Nemzeti Média-és Hírközlési Hatóságnak, aki jogosult meghozni a szükséges intézkedéseket.A Minősített archiválási szolgáltató köteles a független vizsgáló által felvetett problémákraírásban válaszolni, az elhárításukra tett intézkedésekről a következő hatósági szemle alkalmávalbeszámolni.A független auditornak a vizsgálati jelentést minden esetben meg kell küldenie a Nemzeti Média-és Hírközlési Hatóságnak.

64

8 EGYÉB ÜZLETI ÉS JOGI KÉRDÉSEK ASZ-MIN 2.11

7.6. Az eredmények közzététele

A Minősített archiválási szolgáltató a vizsgálat eredményét összefoglaló jelentést nyilvánosságrahozza honlapján az alábbi linken:

https://e-szigno.hu/eidas/ https://e-szigno.hu/en/eidas/

A feltárt hiányosságok részleteit nem publikálja, azokat bizalmas információként kezeli.

8. Egyéb üzleti és jogi kérdések

8.1. Díjak

A szolgáltatási díjakat és árakat a Minősített archiválási szolgáltató a honlapján közzéteszi éskérelemre nyomtatott formában ügyfélszolgálati irodájában is biztosítja olvashatóságát.

A Minősített archiválási szolgáltató az árlistát egyoldalúan módosíthatja. Az árlista módosításáta hatálybalépése előtt 30 nappal a Minősített archiválási szolgáltató a honlapján közzéteszi. AzÜgyfél számára kedvező változások a 30 naposnál rövidebb határidővel is bevezethetők. Az előrekifizetett szolgáltatások árát a módosítás nem érinti.

A díjak kifizetésével és visszatérítésével kapcsolatos rendelkezéseket a Szolgáltatási szerződés ésmellékletei – különösen az Általános szerződési feltételek – tartalmazzák.

8.1.1. Visszatérítési politika

Lásd: 8.1. fejezet.

8.2. Anyagi felelősségvállalás

A Minősített archiválási szolgáltató megbízhatósága érdekében anyagi felelősséget vállala jelen Minősített elektronikus archiválási rendben, a vonatkozó Minősített elektronikusarchiválási szolgáltatási szabályzatban valamint az Ügyfél lel kötött Szolgáltatási szerződésbenmegfogalmazott valamennyi rá vonatkozó kötelezettség maradéktalan betartásáért.

8.2.1. Pénzügyi követelmények

A Minősített archiválási szolgáltató pénzügyi felelőssége, valamint a megszűnésével kapcsolatosköltségek biztosítása és a megbízhatóság érdekében a jogszabályi előírásoknak megfelelő óvadékkalrendelkezik.

8.2.2. Felelősségbiztosítás

• A Minősített archiválási szolgáltató a megbízhatóság biztosítása érdekébenfelelősségbiztosítással rendelkezik.

• A felelősségbiztosítási szerződés kiterjed az alábbi, a Minősített archiválási szolgáltató általa szolgáltatások nyújtásával összefüggésben okozott károkra:

65


– a bizalmi szolgáltatási Ügyfélnek a Szolgáltatási szerződés megszegésévelösszefüggésben okozott károkra;

– a bizalmi szolgáltatási Ügyfélnek és harmadik személynek szerződésen kívüli okozottkárokra;

– a Nemzeti Média- és Hírközlési Hatóságnak a bizalmi szolgáltatási tevékenységetbefejező Minősített archiválási szolgáltató által okozott költségekre;

– az eIDAS Rendelet [1] 17. cikk (4) bekezdés e) pontja alapján a Nemzeti Média-és Hírközlési Hatóság által felkért megfelelőségértékelő szervek eljárásának költségeire,ha azt a Nemzeti Média- és Hírközlési Hatóság eljárási költségként érvényesíti.

• A biztosítási szerződésben szereplő felelősségvállalási érték káreseményenként legalább3.000.000 forint. Több azonos okból bekövetkezett, időben összefüggő káresemény egybiztosítási eseménynek minősül.

• A felelősségbiztosítás a meghatározott összeg erejéig fedezetet nyújt a károsultnak aszolgáltató károkozó magatartásával összefüggésben keletkező teljes kárára, függetlenülattól, hogy a kárt szerződésszegéssel vagy szerződésen kívül okozták.

• Ha egy biztosítási eseménnyel kapcsolatban több jogosult megalapozott kártérítési igényemeghaladja a károkra biztosítási eseményenként a felelősségbiztosítási szerződésbenmeghatározott összeget, akkor a kártérítési igények megtérítése az összes kártérítési igényneka felelősségbiztosítási szerződésben meghatározott összeghez viszonyított arányábantörténik.

8.3. Bizalmasság

A Minősített archiválási szolgáltató az Ügyfelek adatait a jogszabályoknak megfelelően kezeli. AMinősített archiválási szolgáltató rendelkezik adatkezelési szabályzattal (lásd 8.4 fejezet), amelya személyes adatok kezelésével kiemelten foglalkozik.

Az Ügyfél a Szolgáltatási szerződés aláírásával hozzájárul ahhoz, hogy a személyes adataita Minősített archiválási szolgáltató (az adatkezelési szabályzatnak megfelelő módon) tároljaés kezelje. A hozzájárulás vonatkozik a törvény által meghatározott és nyilvántartásbavett információk harmadik félhez történő továbbítására a Minősített archiválási szolgáltatószolgáltatásainak leállítása esetén, valamint – kizárólag a szolgáltatással összefüggő feladatokelvégzése céljából – a Minősített archiválási szolgáltató alvállalkozóinak való továbbításra. AMinősített archiválási szolgáltató az Ügyfelek adatait kizárólag a szolgáltatásaival összefüggésbenhasználja fel.

A Minősített archiválási szolgáltató a tudomására jutott adatokat a jogszabályi követelményeknekmegfelelően, az előírt időtartamig megőrzi. A Minősített archiválási szolgáltató az adatokmegőrzése során gondoskodik az információk sértetlenségéről, bizalmasságáról és biztonságostárolásáról. Az információkhoz való hozzáférést csak azon személyeknek engedélyezi, akik feladataazt indokolja.

A Minősített archiválási szolgáltató az Ügyfelek adatainak továbbítása során gondoskodik a nemnyilvános információk bizalmasságáról és sértetlenségéről.

66


8.3.1. Bizalmas információk köre

A Minősített archiválási szolgáltató bizalmas információként kezeli:

• az Ügyfelek minden adatát, kivéve azokat, amelyeket a 8.3.2. fejezetben nem bizalmasnaktekintett információnak minősít;

• az Ügyfelek adatain kívül:

– az Előfizetők archívumban tárolt elektronikus dokumentumait a hozzájuk tartozóérvényességi láncokkal és egyéb meta adatokkal;

– a tranzakciós és naplóadatokat;

– a nem nyilvános szabályzatokat;

– minden olyan adatot, amelynek nyilvánosságra hozatala a szolgáltatás biztonságátelőnytelenül befolyásolná.

8.3.2. Bizalmas információk körén kívül eső adatok

A Minősített archiválási szolgáltató nyilvánosnak tekint miden olyan adatot, amely nyilvánosanelérhető forrásból beszerezhető, vagy amely nyilvánosságra hozatalához az Előfizető előzetesenírásban hozzájárult.

8.3.3. Bizalmas információ védelme

A Minősített archiválási szolgáltató felelősséggel tartozik az általa kezelt bizalmas adatokvédelméért.

A Minősített archiválási szolgáltató szerződésben vagy titoktartási nyilatkozat aláírásával kötelezialkalmazottait, alvállalkozóit, szerződött partnereit a bizalmas adatok védelmére.

A Minősített archiválási szolgáltató a birtokába jutott bizalmas adatokat az információsönrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény [4]rendelkezéseinek megfelelően kezeli, és kizárólag az alábbi esetekben fedi fel azokat:

• Információszolgáltatás a hatóságok részére

A Minősített archiválási szolgáltató az Eüt. [6] 90. § (1) bekezdésénekmegfelelően az általa nyújtott bizalmi szolgáltatások felhasználásával elkövetettbűncselekmények felderítése vagy megelőzése céljából, illetőleg nemzetbiztonsági érdekből– az adatigénylésre külön törvényben meghatározott feltételek teljesülése esetén – anyomozó hatóságnak és a nemzetbiztonsági szolgálatoknak díjmentesen továbbítja azérintett személyazonosságát igazoló, valamint a Minősített archiválási szolgáltató általegyeztetett adatokat.

A Minősített archiválási szolgáltató rögzíti az adatátadás tényét, de arról nem tájékoztatjaaz érintett Ügyfeleket.

67


• A tulajdonos kérésére történő felfedés

A Minősített archiválási szolgáltató az Ügyfél személyes kérése vagy az általa hivatalosan,írásban adott felhatalmazása alapján tárja fel a rá vonatkozó bizalmas felhasználóiinformációkat harmadik fél részére.

8.4. Személyes adatok védelme

A Minősített archiválási szolgáltató gondoskodik az általa kezelt személyes adatokvédelméről, működése és szabályzatai megfelelnek az információs önrendelkezési jogról és azinformációszabadságról szóló 2011. évi CXII. törvény [4] és a 2016/679 EU általános adatvédelmirendelet [2] rendelkezéseinek.

A Minősített archiválási szolgáltató az Ügyfélről nyilvántartott személyes adatokat ésinformációkat a jogszabályi előírásoknak megfelelően

• megőrzi,

• azokat a megőrzési kötelezettség lejártával – amennyiben az Ügyfél erről másképpen nemrendelkezik – az ügyfél adatbázisból törli.

A Minősített archiválási szolgáltató nyilvántartásában azonosító adatokat, az Előfizetőrőlkizárólag a szolgáltatás igénybevételéhez, valamint a szerződéskötéshez és a számlázáshozszükséges információkat tárolja.

A Minősített archiválási szolgáltató kizárólag olyan esetben adja át harmadik félnek az Ügyféladatait, ha ezt jogszabály előírja vagy ha az Ügyfél ebbe írásban beleegyezett.

8.4.1. Adatkezelési szabályzat

A Minősített archiválási szolgáltató rendelkezik adatkezelési szabályzattal, amely részleteselőírásokat tartalmaz a személyes adatok kezelésére. Az adatkezelési szabályzat megtalálható aze-Szignó Hitelesítés Szolgáltató honlapján az alábbi linken:

https://e-szigno.hu/letoltesek/dokumentumok-es-szabalyzatok/

8.4.2. Személyes adatok

A Minősített archiválási szolgáltató védi az érintettel kapcsolatba hozható, vagy az érintettrevonatkozó következtetést tartalmazó minden olyan személyes adatot, amely nem érhető elnyilvános adatforrásból.

A Minősített archiválási szolgáltató csak az Előfizetőtől közvetlenül, vagy annak egyértelműelőzetes hozzájárulásával gyűjt személyes adatokat és csak olyan mértékben, ami a szolgáltatásnyújtásához szükséges.

8.4.3. Személyes adatnak nem minősülő adatok

A Minősített archiválási szolgáltató nem köteles bizalmasként kezelni az olyan személyes adatot,amely nyilvános adatforrásból elérhető.

68


8.4.4. Személyes adatok védelme

A Minősített archiválási szolgáltató biztonságosan tárolja és védi az általa kezelt személyesadatokat. Az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés,megváltoztatás, továbbítás, valamint nyilvánosságra hozatal ellen.

A Minősített archiválási szolgáltató általánosan felelős az Adatkezelési szabályzatában leírtakbetartásáért, felelőssége kiterjed az alvállalkozói által végzett tevékenységekre is.

8.4.5. Személyes adatok felhasználása

A Minősített archiválási szolgáltató csak a szolgáltatás nyújtásához megkívánt mértékben, azÜgyfél lel való kapcsolattartás érdekében használja fel az Ügyfél személyes adatait.

8.4.6. Adatkezelés

A Minősített archiválási szolgáltató az Ügyfél értesítése nélkül is kiadhatja az Ügyfélről tároltszemélyes adatokat a vonatkozó jogszabályok által meghatározott esetekben.

8.4.7. Egyéb adatvédelmi követelmények

Nincs előírás.

8.5. Szellemi tulajdonjogok

A Minősített archiválási szolgáltató működése során nem sértheti meg harmadik személy szellemitulajdonjogait.

A jelen Minősített elektronikus archiválási szolgáltatási szabályzat a Minősített archiválásiszolgáltató kizárólagos tulajdonát képezi. Az Ügyfelek és egyéb Érintett felek a dokumentumotcsak a jelen Minősített elektronikus archiválási szolgáltatási szabályzat előírásainak megfelelőenjogosultak felhasználni, minden egyéb kereskedelmi vagy egyéb célú felhasználás szigorúan tilos.

A jelen Minősített elektronikus archiválási szolgáltatási szabályzat szabadon terjeszthető, de csakváltozatlan formában, teljes terjedelemben és az eredet feltüntetésével.

A Minősített archiválási szolgáltató által a szolgáltatás igénybevételéhez biztosított szoftverekhasználatának szabályait a szoftver leírásában vagy magában a szoftverben elérhető illetve ottmeghivatkozott helyen található felhasználói útmutató tartalmazza.

8.6. Tevékenységért viselt felelősség és helytállás

8.6.1. A szolgáltató felelőssége és helytállása

A Szolgáltató felelőssége

A Minősített archiválási szolgáltató felelősségét jelen Minősített elektronikus archiválásiszolgáltatási szabályzat, a vonatkozó Minősített elektronikus archiválási rend, valamint az Ügyfél lelkötött Szolgáltatási szerződés és annak mellékletei tartalmazzák, melyek szerint:

69


• a Minősített archiválási szolgáltató felelősséget vállal az általa támogatott Minősítettelektronikus archiválási rend(ek)ben leírt eljárásoknak való megfelelésért;

• a Minősített archiválási szolgáltató sajátjaként felel az alvállalkozói által a szolgáltatásnyújtása során okozott károkért;

• a Minősített archiválási szolgáltató a vele szerződéses jogviszonyban álló Ügyfelekkelszemben a Polgári Törvénykönyv [5] a szerződésszegésért való felelősség szabályai szerintfelelős;

• a Minősített archiválási szolgáltató a vele szerződéses jogviszonyban nem álló harmadikszeméllyel (ilyen az Érintett fél ) szemben a Polgári Törvénykönyv [5] általános felelősségiszabálya szerint felelős;

• a Minősített archiválási szolgáltató a felelősségi körén belül keletkezett, bizonyítottkárokért a szabályzataiban és az Ügyfél lel megkötött Szolgáltatási szerződésekben rögzítettkorlátozásokkal kártérítést fizet (lásd: Pénzügyi felelősség korlátozása 8.8. fejezet);

• ha egy biztosítási eseménnyel kapcsolatban több jogosult megalapozott kártérítési igényemeghaladja a károkra biztosítási eseményenként a felelősségbiztosítási szerződésbenmeghatározott összeget, akkor a kártérítési igények megtérítése az összes kártérítési igényneka felelősségbiztosítási szerződésben meghatározott összeghez viszonyított arányábantörténik.

A Minősített archiválási szolgáltató nem felelős:

• az Érintett felek tanúsítvány ellenőrzési és felhasználási tevékenységeiért,

• az Érintett felek vagy mások által kibocsátott szabályzatokért.

A Szolgáltató kötelezettsége

A Minősített archiválási szolgáltató köteles teljesíteni az eIDAS Rendelet [1] 24. cikkének (2)bekezdésében foglalt követelményeket.

A Minősített archiválási szolgáltató alapvető kötelezettsége, hogy a szolgáltatásokat a Minősítettelektronikus archiválási renddel, a Minősített elektronikus archiválási szolgáltatási szabályzattalés egyéb nyilvános szabályzatokkal, a szerződéses feltételekkel, továbbá a vállalati és biztonságibelső szabályzatokkal összhangban nyújtsa. Ezen alapvető kötelezettségek a következők:

• a szolgáltatásnak megfelelő jogi-, szabályozási-, anyagi-, szerződéses stb. keretekmegteremtése;

• magas színvonalú és biztonságos szolgáltatások nyújtása a vonatkozó szabályzatok szerint;

• a szolgáltatásokhoz kapcsolódó szervezetek (hitelesítő szervezet, ügyfélszolgálat stb.)folyamatos működtetése és ellenőrzése;

• a szabályzatokban előírt eljárások betartása és az esetleg bekövetkező helytelen működéselkerülése, illetve megszüntetése;

70


• a szolgáltatások biztosítása minden olyan igénylő számára, aki elfogadja a szabályzatokbanrögzített feltételeket;

• a publikus nyilvántartások és saját szabályzatok karbantartása és folyamatos elérhetővé tételebárki számára az interneten keresztül.

8.6.2. Az Ügyfél felelőssége és helytállása

Az Előfizető felelőssége

Az Előfizető felelősségét a Szolgáltatási szerződés és annak mellékletei (köztük az Általánosszerződési feltételek) határozzák meg.

Az Előfizető kötelezettségei

Az Előfizető köteles a Minősített archiválási szolgáltató szerződéses feltételeinek és szabályzatainakmegfelelően eljárni a szolgáltatás igénybevétele során.

Az Előfizető kötelezettségeit a jelen Minősített elektronikus archiválási szolgáltatási szabályzat, aSzolgáltatási szerződés és annak elválaszthatatlan részét képező Általános szerződési feltételek ésegyéb dokumentumok, valamint a vonatkozó Minősített elektronikus archiválási rend tartalmazzák.

Az Előfizető jogai

Az Előfizető jogosult:

• a szolgáltatások igénybevételére a jelen Minősített elektronikus archiválási szolgáltatásiszabályzatban leírtak szerint;

8.6.3. Az Érintett fél felelőssége

Az Érintett felek saját belátásuk és/vagy szabályzataik alapján dönthetnek az egyesTanúsítványok és Időbélyegzők elfogadásáról és a felhasználás módjáról. Az érvényességvizsgálata során a Minősített archiválási szolgáltató által garantált biztonsági szint megtartásáhozszükséges, hogy az Érintett fél megfelelő körültekintéssel járjon el, ezért különös tekintetteljavasolt:

• a Minősített elektronikus archiválási rendben és a Minősített elektronikus archiválásiszolgáltatási szabályzatban megfogalmazott követelmények, előírások betartása;

• megbízható informatikai környezet és alkalmazások használata;

• visszavonási állapotának ellenőrzése az aktuális CRL vagy OCSP válasz alapján;

• felhasználására vonatkozó valamennyi korlátozás figyelembevétele, amely a jelen Minősítettelektronikus archiválási rendben és a Minősített elektronikus archiválási szolgáltatásiszabályzatban szerepel.

71


8.6.4. Egyéb szereplők tevékenységéért viselt felelősség és helytállás

Nincs megkötés.

8.7. Helytállás érvénytelenségi köre

A Minősített archiválási szolgáltató kizárja felelősségét, amennyiben:

• az Internet, vagy annak egy részének működési hibájából adódóan a tájékoztatás és egyébkommunikációs kötelezettségeit nem tudja ellátni;

• a károkozás a Nemzeti Média- és Hírközlési Hatóság algoritmusokkal kapcsolatos határozatáltal elfogadott kriptográfiai algoritmusok hibájából, illetve gyengeségeiből ered.

8.8. A felelősség korlátozása

Nincs megkötés.

8.9. Kártérítési kötelezettség

8.9.1. A szolgáltató kártérítési kötelezettsége

A Minősített archiválási szolgáltató kártérítési kötelezettségének részletes szabályait jelenszabályzat (lásd: 8.8. fejezet), a Szolgáltatási szerződés és az Ügyfelekkel kötött szerződésektartalmazzák.

8.9.2. Az előfizető kártérítési kötelezettsége

Az Előfizető kártérítési felelősséggel tartozik a Minősített archiválási szolgáltatónak azokért aveszteségekért és károkért, amelyeket kötelezettségei és a rá vonatkozó ajánlások be nem tartásávalokoz számára.

8.9.3. Az érintett felek kártérítési kötelezettsége

Lásd: 8.8. fejezet

8.10. Érvényesség és megszűnés

8.10.1. Érvényesség

A Minősített elektronikus archiválási szolgáltatási szabályzat adott verziója hatálybalépéséneknapja a dokumentum címlapján kerül meghatározásra.

8.10.2. Megszűnés

A Minősített elektronikus archiválási szolgáltatási szabályzat visszavonásig illetve a Minősítettelektronikus archiválási szolgáltatási szabályzat újabb verziójának hatályba lépéséig hatályosidőbeli korlátozás nélkül.

72


8.10.3. A megszűnés következményei

A Minősített elektronikus archiválási szolgáltatási szabályzat visszavonása esetén a Minősítettarchiválási szolgáltató honlapján közzéteszi a visszavonás részletes szabályait és a visszavonásután is fennálló jogokat és kötelezettségeket.

A Minősített archiválási szolgáltató garantálja, hogy a Minősített elektronikus archiválásiszolgáltatási szabályzat visszavonása esetén is érvényben maradnak a bizalmas adatok védelmérevonatkozó előírások.

8.11. A felek közötti kommunikáció

A Minősített archiválási szolgáltató az Ügyfelekkel történő kapcsolattartás érdekébenügyfélszolgálati irodát működtet.

Az Ügyfelek jognyilatkozataikat a Minősített archiválási szolgáltató felé kizárólag írásban, aláírtmódon tehetik meg. Szervezet képviseletében történő aláírás csak a képviseleti jogosultságigazolásával együtt érvényes.

Az e-Szignó Hitelesítés Szolgáltató elektronikus levélben tájékoztatja Ügyfeleit vagy tájékoztatásáthonlapján teszi közzé.

8.12. Módosítások

A Minősített archiválási szolgáltató fenntartja magának a jogot, hogy a normatív szabályok,biztonsági követelmények, piaci környezet vagy egyéb körülmények változása esetén szabályozottmódon megváltoztassa a Minősített elektronikus archiválási szolgáltatási szabályzatot.

8.12.1. Módosítási eljárás

A Minősített archiválási szolgáltató nyilvános szabályzataiban csak azon eljárásait hozzanyilvánosságra, melyek ismerete a szolgáltatások biztonságát nem veszélyezteti. A Minősítettarchiválási szolgáltató több belső biztonsági és egyéb szabályzattal, operatív szintű előírássalrendelkezik, melyeket bizalmasan kezel (jelen Minősített elektronikus archiválási szolgáltatásiszabályzat több ilyet is megemlít). A 7.4. fejezetben leírt eljárások ezeket a dokumentumokatis vizsgálják.

A Minősített archiválási szolgáltató hitelesítő szervezetén belül működik egy olyan szervezetiegység, amely felelős a szabályzatok és dokumentációk karbantartásáért. A változtatási igényekete csoport gyűjti, a módosításokat elvégzi, a belső és külső tájékoztatási kötelezettségeknek elegettesz. A szabályzatot az e-Szignó Hitelesítés Szolgáltató igazgatója hagyja jóvá.

A változtatásokat gyűjtve a csoport belső, nem nyilvános munkaváltozatokat hoz létre aszabályzatokból, melyek a közzététel előtt belső felülvizsgálaton esnek át. A Minősített archiválásiszolgáltató törekszik arra, hogy új szabályzatot csak a lehető legritkábban kelljen kibocsátania.

A Minősített archiválási szolgáltató évi rendszerességgel illetve rendkívüli változtatási igényesetén soron kívül átvizsgálja a Minősített elektronikus archiválási szolgáltatási szabályzatotés elvégzi a szükségesnek tartott változtatásokat. A dokumentum a legkisebb változtatás után isúj verziószámot kap és az elfogadási procedúra időigényét figyelembe véve meghatározásra kerüla tervezett hatálybalépés időpontja is.

73


Minősített archiválási szolgáltató a jóváhagyott dokumentumot legalább 30 nappal a tervezetthatálybalépés előtt véleményezésre megküldi a Nemzeti Média- és Hírközlési Hatóság részére éspublikálja honlapján.

A Minősített archiválási szolgáltató a közzétett új szabályzat tervezettel kapcsolatos észrevételeketa hatálybalépést megelőző 14. napig fogadja az alábbi címen:

[email protected]

Érdemi változtatást igénylő észrevétel esetén a dokumentumot megváltoztatja.

A szabályzat észrevételekkel módosított változatát a Minősített archiválási szolgáltató ahatálybalépést megelőző 7. napon zárja le és teszi közzé.

8.12.2. Értesítések módja és határideje

A Minősített archiválási szolgáltató a 8.12.1. pontban leírtak szerint értesíti az Érintett feleket azúj dokumentum verziók kibocsátásáról.

8.12.3. Az OID megváltoztatása

A Minősített archiválási szolgáltató a Minősített elektronikus archiválási szolgáltatási szabályzatlegkisebb változtatása esetén is új verziószámot ad ki, ami része a dokumentum azonosítónak(OID), így a dokumentum minden változása az OID változását eredményezi, vagyis két eltérőtartalmú – hatályba léptetett – dokumentumnak nem lehet azonos OID azonosítója.

8.13. Vitás kérdések rendezése

A Minősített archiválási szolgáltató törekszik a működése során felmerülő vitás kérdések békés,tárgyalásos rendezésére. A rendezés során a fokozatosság elvét követi.

A Minősített archiválási szolgáltató és az Ügyfél kölcsönösen megállapodnak abban, hogybármilyen vitás kérdés vagy panasz felmerülése esetén, a vita jogi útra való terelése előttmegkísérlik a békés úton, tárgyalással történő egyeztetést. A kezdeményező fél kötelessége, hogyminden érintett többi felet haladéktalanul értesítsen és teljes körűen tájékoztasson az ügy mindenvonatkozását illetően.

Az Ügyfél vitás kérdés felmerülése esetén jogosult az esetleges bírósági eljárást megelőzően aBudapesti Békéltető Testülethez fordulni.

A Minősített archiválási szolgáltató tevékenységével kapcsolatos kérdéseket, kifogásokat éspanaszokat az ügyfélszolgálati iroda címére kell eljuttatni írásos formában. A bejelentéskézhezvételétől számított 3 munkanapon belül a Minősített archiválási szolgáltató értesíti abejelentő felet az általa megadott címen a bejelentés fogadásáról és a kivizsgáláshoz szükségesidőről. A megjelölt határidőig a Minősített archiválási szolgáltató köteles írásban válaszolnia bejelentőnek. A Minősített archiválási szolgáltató a válaszadáshoz szükséges információkmegadását kérheti a bejelentőtől. A Minősített archiválási szolgáltató a panaszt 30 napon belülkivizsgálja, és az eredményekről értesíti a bejelentőt.

Amennyiben a választ a bejelentő nem tartja kielégítőnek, vagy az alapján nem sikerül aMinősített archiválási szolgáltató bevonása nélkül rendezni a felmerült vitát, akkor a bejelentőegyeztetést kezdeményezhet a Minősített archiválási szolgáltatóval és az Érintett felekkel. Azegyeztetés minden résztvevőjét írásban értesíteni kell az egyeztetés időpontjáról azt megelőzően

74


10 munkanappal, és írásban meg kell számukra küldeni a bejelentést, a Minősített archiválásiszolgáltató válaszát és egyéb szükséges információkat tartalmazó dokumentumokat.

Amennyiben az egyeztetés a panasz benyújtásától számított 30 napon belül nem vezet eredményre,akkor a bejelentő peres útra terelheti az ügyet. Az Érintett felek kölcsönösen alávetik magukat aBudapesti II. és III. Kerületi Bíróság, illetve a Fővárosi Törvényszék kizárólagos illetékességének.

8.14. Irányadó jog

A Minősített archiválási szolgáltató tevékenységét a mindenkor hatályos magyar jogszabályoknakmegfelelően végzi. A Minősített archiválási szolgáltató szerződéseire és szabályzataira, azokteljesítésére a magyar jog az irányadó, s azok a magyar jog szerint értelmezendők.

8.15. Az érvényben lévő jogszabályoknak való megfelelés

A vonatkozó jogszabályok:

• AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE (2014. július 23.)a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról ésbizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről [1];

• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról[4];

• 2013. évi V. törvény a Polgári Törvénykönyvről [5].

• 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általánosszabályairól [6];

• 24/2016. (VI. 30.) BM rendelet a bizalmi szolgáltatásokra és ezek szolgáltatóira vonatkozórészletes követelményekről [7];

• 25/2016. (VI. 30.) BM rendelet a bizalmi felügyeletnek fizetendő igazgatási szolgáltatásidíjak mértékéről [8];

• 470/2017. (XII. 28.) Kormányrendelet a bizalmi felügyelet által vezetett nyilvántartásoktartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről [9];

8.16. Vegyes rendelkezések

8.16.1. Teljességi záradék

Nincs megkötés.

8.16.2. Átruházás

A jelen Minősített elektronikus archiválási szolgáltatási szabályzatalapján nyújtott szolgáltatásokba bevont alvállalkozók vagy egyéb együttműködő partnerek csak aMinősített archiválási szolgáltató előzetes írásbeli engedélyével adhatják tovább jogosultságaikatés delegálhatják kötelezettségeiket harmadik félnek.

75


8.16.3. Részleges érvénytelenség

A jelen Minősített elektronikus archiválási szolgáltatási szabályzat egyes rendelkezéseinektetszőleges okból történő érvénytelenné válása esetén a többi rendelkezés változatlan formábanérvényben marad.

8.16.4. Igényérvényesítés

A Minősített archiválási szolgáltató kártérítésre, az ügyvédi díjak megfizetésére tarthat igényta partnerei által okozott károk, veszteségek, költségek megtérítése érdekében. Amennyiben aMinősített archiválási szolgáltató egy konkrét esetben nem él kártérítési igényével, az nemjelenti azt, hogy a jövőben hasonló esetben vagy a jelen Minősített elektronikus archiválásiszolgáltatási szabályzat más rendelkezésének megsértése esetén is lemondana a kártérítési igényérvényesítéséről.

8.16.5. Vis maior

A Minősített archiválási szolgáltató nem felelős a Minősített elektronikus archiválási rendben és aMinősített elektronikus archiválási szolgáltatási szabályzatban megfogalmazott kötelezettség hibásvagy késedelmes teljesítéséért, illetve nem teljesítéséért, amennyiben a hiba vagy késedelem okaa Minősített archiválási szolgáltató ellenőrzési körén kívül eső, előre nem látható elháríthatatlankülső ok.

8.17. Egyéb rendelkezések

Nincs megkötés.

76

ASZ-MIN 2.11

A. Hivatkozások

[1] AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE (2014. július 23.)a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról ésbizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről .

[2] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.)a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről ésaz ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről(általános adatvédelmi rendelet) .

[3] 2001. évi XXXV. törvény az elektronikus aláírásról (hatályon kívül helyezve 2016. július 1-től).

[4] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról .

[5] 2013. évi V. törvény a Polgári Törvénykönyvről .

[6] 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általánosszabályairól .

[7] 24/2016. (VI. 30.) BM rendelet a bizalmi szolgáltatásokra és ezek szolgáltatóira vonatkozórészletes követelményekről .

[8] 25/2016. (VI. 30.) BM rendelet a bizalmi felügyeletnek fizetendő igazgatási szolgáltatási díjakmértékéről .

[9] 470/2017. (XII. 28.) Korm. rendelet a bizalmi felügyelet által vezetett nyilvántartásoktartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről .

[10] ETSI EN 319 122-1 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI); CAdESdigital signatures; Part 1: Building blocks and CAdES baseline signatures.

[11] ETSI EN 319 122-2 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI); CAdESdigital signatures; Part 2: Extended CAdES signatures.

[12] ETSI EN 319 132-1 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI); XAdESdigital signatures; Part 1: Building blocks and XAdES baseline signatures.

[13] ETSI EN 319 132-2 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI); XAdESdigital signatures; Part 2: Extended XAdES signatures.

[14] ETSI EN 319 142-1 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI); PAdESdigital signatures; Part 1: Building blocks and PAdES baseline signatures.

[15] ETSI EN 319 142-2 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI); PAdESdigital signatures; Part 2: Additional PAdES signatures profiles.

77

ASZ-MIN 2.11

[16] ETSI EN 319 162-1 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI);Associated Signature Containers (ASiC); Part 1: Building blocks and ASiC baselinecontainers.

[17] ETSI EN 319 162-2 V1.1.1 (2016-04) Electronic Signatures and Infrastructures (ESI);Associated Signature Containers (ASiC); Part 2: Additional ASiC containers.

[18] ETSI EN 319 401 V2.2.1 (2018-04); Electronic Signatures and Infrastructures (ESI); GeneralPolicy Requirements for Trust Service Providers.

[19] ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI); TrustService Provider Conformity Assessment - Requirements for conformity assessment bodiesassessing Trust Service Providers;.

[20] ETSI TS 101 733 V1.8.1 (2009-11) Technical Specification Electronic Signatures andInfrastructures (ESI); CMS Advanced Electronic Signatures (CAdES).

[21] ETSI TS 101 733 V2.1.1 (2012-03) Electronic Signatures and Infrastructures (ESI); CMSAdvanced Electronic Signatures (CAdES).

[22] ETSI TS 101 903 V1.2.2 (2004-04) Technical Specification XML Advanced ElectronicSignatures (XAdES).



[25] ETSI TS 101 903 V1.4.2 (2010-12) Technical Specification Electronic Signatures andInfrastructures (ESI); XML Advanced Electronic Signatures (XAdES).

[26] ETSI TS 102 778-1 V1.1.1 (2009-07) Technical Specification Electronic Signatures andInfrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 1: PAdES Overview- a framework document for PAdES.

[27] ETSI TS 102 778-2 V1.2.1 (2009-07) Technical Specification Electronic Signatures andInfrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic -Profile based on ISO 32000-1.

[28] ETSI TS 102 778-3 V1.1.2 (2009-12) Technical Specification Electronic Signatures andInfrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced- PAdES-BES and PAdES-EPES Profiles.

[29] ETSI TS 102 778-4 V1.1.2 (2009-12) Technical Specification Electronic Signatures andInfrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 4: PAdES LongTerm - PAdES-LTV Profile.

[30] ETSI TS 102 918 V1.3.1 (2013-06) Electronic Signatures and Infrastructures (ESI);Associated Signature Containers (ASiC).

[31] ETSI TS 103 171 V2.1.1 (2012-03) Electronic Signatures and Infrastructures (ESI); XAdESBaseline Profile.

78

ASZ-MIN 2.11

[32] ISO/IEC 646:1991, Information technology – ISO 7-bit coded character set for informationinterchange.

[33] ISO/IEC 8859-1:1998, Information technology – 8-bit single-byte coded graphic charactersets – Part 1: Latin alphabet No. 1.

[34] ISO/IEC 8859-2:1999, Information technology – 8-bit single-byte coded graphic charactersets – Part 2: Latin alphabet No. 2.

[35] ISO/IEC 10646:2003, Information technology – Universal Multiple-Octet Coded CharacterSet (UCS) (withdrawn).

[36] MSZ/ISO/IEC 15408-2002 Informatika.Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai, 2002 december.

[37] ISO/IEC 19790:2012: "Information technology – Security techniques – Security requirementsfor cryptographic modules".

[38] MSZ 7795-3:1992, Számítástechnikai karakterkódok. A grafikus karakterek magyarreferenciakészlete. .

[39] IETF RFC 2045: Multipurpose Internet Mail Extensions (MIME) Part One: Format of InternetMessage Bodies, November 1996.

[40] IETF RFC 2822: Internet Message Format, April 2001.

[41] ISO 19005-1:2005 – Document management – Electronic document file format for long-termpreservation – Part 1: Use of PDF 1.4 (PDF/A-1).

[42] Dublin Core Metadata Element Set, Version 1.1,http://dublincore.org/documents/2006/12/18/dces/.

[43] Az e-akta formátum specifikációja, v1.2, Microsec zrt.http://www.e-szigno.hu/?lap=eakta3 .

[44] Rich Text Format (RTF) Specification, RTF Version 1.7, Microsoft Technical Support, 2001.

[45] FIPS PUB 140-2 (2001 May 25): Security Requirements for Cryptographic Modules.

[46] CEN Workgroup Agreement CWA 14167-2: Cryptographic module for CSP signing operationswith backup - Protection profile - CMCSOB PP.

[47] CEN CWA 14171: Procedures for Electronic Signature Verification.

[48] e-Szignó Hitelesítés Szolgáltató - eIDAS rendelet szerinti minősített archiválási rend.

[49] e-Szignó Hitelesítés Szolgáltató - eIDAS rendelet szerinti minősített elektronikus archiválásiszolgáltatás - archiválási szabályzat.

[50] e-Szignó Hitelesítés Szolgáltató - minősített elektronikus archiválás szolgáltatásra vonatkozó- archiválási rend .

[51] e-Szignó Hitelesítés Szolgáltató - minősített elektronikus archiválás szolgáltatásra vonatkozó- általános szerződési feltételek .

79

e-szignó hitelesítés szolgáltató eidas rendelet …asz-min 2.11 azonosító...

Documents